有多个非生产环境,例如DEV、TEST、QA、SIT、PKG,如果我们想为每个环境管理一个单独的CA来签署证书,我们是否应该为每个环境设置一个单独的保管库集群?
有什么方法可以在同一个保险存储集群中管理所有这些 CA?
您可以在单个保管库群集中创建任意数量的 PKI 机密引擎。
创建和挂载 PKI 引擎不是单独的集群(这将产生大量开销(,而是单独的挂载点。 例如:pki/dev、pki/test等...每个引擎将保存相应环境的 CA。
这适用于所有机密引擎:Vault 很高兴挂载多个机密引擎,并且所有操作都在特定路径上。当然,您可以将单独的策略应用于这些引擎。