Как и где разместить пароль секретного ключа Tessera при использовании хранилища Hashicorp - PullRequest
Новая
       18

Как и где разместить пароль секретного ключа Tessera при использовании хранилища Hashicorp

0 голосов
/ 26 апреля 2019

Мы используем хранилище Quorum и Hashicorp в одной из наших систем. Нам удалось успешно объединить эти два, то есть мы поместили закрытые и открытые ключи Tessera в хранилище и успешно запустили сервер Quorum.

Проблема в том, что когда мы пытаемся использовать фразу-пароль для закрытого ключа, мы не можем найти способ, с помощью которого мы можем достичь этого. Даже мы заметили, что когда мы используем инструмент генерации ключей tessera для хранилища Hashicorp, где он генерирует ключи и сохраняет их внутри хранилища, он не запрашивает никакой парольной фразы. Но когда мы используем обычный инструмент генерации ключей, где он генерирует ключи и помещает их в указанный каталог, он запрашивает ключевую фразу.

Не могли бы вы помочь нам, как мы можем добиться этого, используя Hashicorp Vault и Tessera, т. Е. Мы генерируем пару ключей, в которой private защищен парольной фразой.

Мы не смогли найти никакой помощи в вики, а также попытались проанализировать исходный код, и у нас сложилось впечатление, что если мы хотим использовать закрытый ключ с парольной фразой для Tessera, мы не можем сейчас использовать Hashicorp Vault.

Пожалуйста, помогите.

1 Ответ

1 голос
/ 26 апреля 2019

Tessera не поддерживает хранение закрытых ключей, защищенных парольной фразой, в Hashicorp Vault, поскольку Vault уже шифрует хранящиеся в нем данные.

Однако, чтобы получить доступ к данным, хранящимся в хранилище, экземпляр Tessera должен обладать правильным набором учетных данных (предоставляемых в качестве переменных среды) для аутентификации в хранилище. Использование этих учетных данных обеспечивает большую гибкость и контроль по сравнению с парольными фразами, используемыми для защиты ключей, хранимых в файлах.

Например, настройка метода аутентификации (например, аутентификация AppRole) позволяет определить авторизацию для конкретного экземпляра Tessera, гарантируя, что ему разрешен только доступ к секретам, которые ему необходимы. Кроме того, эти учетные данные могут быть настроены на истечение после определенного количества использований или продолжительности времени.

Наконец, TLS должен быть включен на сервере Vault, чтобы обеспечить безопасную связь между Vault и Tessera. Необходимые сертификаты TLS и ключи должны быть включены в конфигурацию запуска Tessera.

Вики Tessera предоставляет более подробную информацию о точной конфигурации и переменных среды, чтобы предоставить:

...