我正在尝试通过TLS连接到Vault并获得以下错误:
2017/12/21 15:11:55 http: TLS handshake error from 127.0.0.1:62734: remote error: tls: bad certificate
来自命令保险库init:
Error initializing Vault: Put https://127.0.0.1:8200/v1/sys/init: x509: cannot validate certificate for 127.0.0.1 because it doesn't contain any IP SANs
我已经创建了这样的证书:
openssl genrsa -out rootCA.key 2048
openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem
openssl genrsa -out serverCertificate.key 2048
openssl req -new -key serverCertificate.key -out serverCertificate.csr
openssl x509 -req -in serverCertificate.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out serverCertificate.crt -days 500
在创建证书期间,我没有指定任何common_name。
这是我的保险库配置文件:
{
"disable_mlock": true,
"backend": {
"file":{
"path": "./secrets"
}
},
"listener": {
"tcp": {
"address":"127.0.0.1:8200",
"tls_disable": "false",
"tls_cert_file":"./serverCertificate.crt",
"tls_key_file":"./serverCertificate.key"
}
}
}
值得注意的是我在Mac上工作。
请建议,我在做什么?
生成证书时,您需要给它一些127.0.0.1的SANS,因为您试图与127.0.0.1的Vault交谈。它拒绝您使用的证书,因为请求是在127.0.0.1上交谈,并且该证书未与该IP配置。
本指南似乎对如何使用OpenSSL:https://gist.github.com/jchandra74/36d5f8d0e11960ddd802601101101109ab0 #cereatinging-with-sign-sign-sign-sign-with-with-with-withsement-ublestentiond-namg----san
注意,您可能需要使用配置文件,因为某些选项无法通过CLI传递给OpenSSL。