Vault 强化配置 VAULT_SKIP_VERIFY=true

问题描述 投票:0回答:1

我正在使用 Hashicorp Vault 来颁发我的证书,它工作正常,但现在我需要强化配置。 我尝试强制使用 tls,但我仍然可以使用 VAULT_SKIP_VERIFY=true 连接到我的 Vault 并访问 Vault 中的数据。

我尝试过这个会议:

vault-config.json

{
    "api_addr": "https://x.x.x.x:8200",
    "cluster_addr": "https://x.x.x.x:8201",
    "ui": true,
    "backend": {
        "file": {
            "path": "file"
        }
    },
    "log_requests_level": "trace",
    "log_level": "trace",
    "default_lease_ttl": "168h",
    "max_lease_ttl": "720h",
    "listener": {
        "tcp": {
            "address": "x.x.x.x:8200",
            "tls_cert_file": "/path/to/fullchain,
            "tls_key_file": "/path/to/server.key",
            "tls_min_version": "tls12",
            "tls_verify": true,
            "tls_disable": false
        }
    }
}

但我仍然可以使用 VAULT_SKIP_VERIFY=true 连接到保管库,甚至无需声明令牌。

ssl configuration tls1.2 hashicorp-vault hashicorp
1个回答
0
投票

环境变量

VAULT_SKIP_VERIFY
由客户端使用,而不是服务器。

与大多数与证书相关的事情一样,客户端使用以下方法之一信任服务器:

  1. 证书由受信任的颁发者颁发
  2. 证书已固定(必须完全匹配)
  3. 连证书都不看

设置

VAULT_SKIP_VERIFY
就是告诉客户端你不关心服务器的证书。该变量受到Vault命令行客户端和也许一些API包装器的支持。

+您的服务器配置使用不存在的标志 

tls_verify

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.