问题是 Vault 文档不是那么精确。我为动态机密设置了 Vault AWS 引擎（通过 Vault 设置新的机密不时更改）。文档说，Vault 会在需要更改密码时创建新的 IAM 用户。是否可以在相同的 IAM 用户上更改访问密钥和秘密密钥（通过为其重新创建新的访问和秘密密钥），而不是每次都创建一个新的 IAM 用户（如文档所说）一个新的秘密？在我看来，应该只能更改访问密钥。如果不是这样，就会有很多临时 IAM 用户被创建出来。

我需要在 AWS 上设置 Hashicorp 保险库，并在 HA 中设置跨区域。而且我必须完全自动化，最好的 IAC 工具，Cloudformation - 我发现关于保险库设置的文档非常少。还是 Terraform - ？

有人通过aws上的完整自动化方法实现了它。?

在 3DS 中使用 Braintre Dropin UI 我希望客户输入他们的卡详细信息，输入他们的 3Ds 挑战。然后在 Braintree 内部，我想创建客户并验证卡，然后存储在保险库中，以便以后付款。

我希望后期付款有 3DS 的责任转移。

当我尝试创建随后的“Transaction.Sale”传入拱形的 PaymentMethodToken 和 ThreeDSecureAuthenticationId 时，它失败并显示“已经使用了三个 d 安全身份验证 ID，不能多次处理。”

似乎 3DS 身份验证被“验证”所消耗，然后所有其他交易都不会受到 3D 保护。

验证后如何获得交易的责任转移？

任何人都可以帮助描述为带保险库的领事生成 mTLS 证书的确切步骤吗，我正在关注mTLS 领事和保险库来做这件事，但是在最后一部分我有点困惑，当我生成中间证书时，输出是certs.txt，现在这个文件应该是从三个文件中提取的

• ca_file

• 证书文件

• 密钥文件

这对服务器来说很好，但是当我在客户端尝试它时，我是客户端在日志中显示“没有自动加密”错误。我应该在服务器中使用 ca_file 并将其放在客户端中吗？最后应该在客户端代理已经加入集群时完成，或者我们配置服务器然后将具有新配置的客户端加入服务器。

谢谢你。

我正在尝试设置一个配置，其中服务使用临时动态生成的用户凭据连接到数据库。基本上当服务启动时，我们查询用户名和密码以生成服务连接池。然后可能 7 天后，这些用户名/密码将过期。只要保持与数据库的连接，它就不应该成为问题，但我想知道如果有一些网络故障会导致连接丢失会发生什么。活动记录会尝试使用相同的凭据自动重新建立连接吗？或者是否有某种方法可以将其配置为始终使用动态凭据？

如何为 Vault Pki 颁发的证书添加中间证书？

我正在配置一个 kubernetes 保险库集群证书颁发者。

使用 Let's Encrypts 时，acme 颁发者域证书包括所有中间证书链。

但是 v1/pki_int/sign/example-dot-com 不这样做。

我正在尝试在 Kubernetes 集群中部署的 Vault 中启用 TLS 身份验证。我的目标是能够使用 cert 方法登录到保险库，如下所示：

我首先在此页面之后针对 minikube 集群部署了保管库。此页面创建 Vault 服务器的公钥、私钥和证书。有了这三个文件，我假设到服务器的任何连接都是安全的。我遵循的步骤如下：

创建独立的 TLS 保险库服务器

1. 创建环境变量

2. 为保管库服务器创建私钥

3. 创建和部署证书签名请求

• 3.1) 创建文件csr.conf

• 3.2) 使用中的配置创建证书签名请求csr.conf

• 3.3) 将证书签名请求放入 Kubernetes 的 CertificateSigningRequest yaml

并将其应用到 Kubernetes

• 3.4) 批准证书签名请求

4. 获取 Vault 服务器的证书

并将其放入文件中

5. 获取证书颁发机构的证书

在这个阶段，我有保险库服务器的私钥vault.key、它的证书vault.crt和 CA 证书vault.ca

6. 我可以将这些文件放入 Kubernetes 机密中，以供 Vault 服务器部署使用。

7. 最后使用 Helm 图表和以下自定义值部署 Vault 服务器

使用证书进行身份验证

我kubectl exec进入吊舱vault-0，然后启动并打开保险库。

然后我尝试使用我创建的文件登录。我知道它们与服务器的文件相同。但是，由于它们是配对和签名的，我希望它们能够工作。此外，我确实进入了 Vault 的 UI 并添加了 vault.ca 作为要在 TLS Acess 中使用的证书。

但是，我收到此错误：

我对 TLS 的理解有限。谁能指出我正确的方向？

我是HashiCorp Vault的新手，有一些问题。

Q1) 为什么 Convergent Encryption 在没有 Nonce 参数的情况下工作（我在 REST API 请求中省略了 Nonce。）？

Q2）因为我的收敛键是Version3？

Q3) 版本 3 中的收敛密钥是Nonce使用contextor生成的plaintext吗？

Q4) 那么我可以省略Noncein Convergent Encryption(in Vault) 吗？

Q5) 我可以Context像下面这样使用这个参数吗？

Q6) vault read transit/keys/$endpoint, converent_encryption_version 在我的请求中返回 -1。谁知道为什么？

提前感谢您的回复。

我正在尝试使用以下命令在 shell 脚本中使用 Vault。

但它给了我错误库：找不到命令有人可以指导我如何解决这个问题吗？

在我使用 TLS 身份验证登录到我的保险柜后

我希望返回的令牌在~/.vault-token. 然而事实并非如此。例如，跑步$ vault status返回

我可以通过添加到每个后续请求来解决这个问题，-ca-cert=path/to/ca/cert但这并不理想。知道是什么原因造成的吗？