我们很荣幸地宣布Vault 0.4的发布。保险库是管理机密的工具。从存储凭证和API密钥到加密敏感数据，再到管理对外部系统的访问，Vault将成为满足所有机密管理需要的解决方案。vault0.4对pki后端、CRL检查证书身份验证、默认策略以及一长串改进和错误修复带来了显著的增强。有关详细信息，请参阅完整的Vault 0.4更改日志。像往常一样，感谢我们的社区，感谢他们的想法、错误报告和拉取请求。可以从项目网站下载Vault 0.4。升级信息可以在这篇文章的末尾找到。继续阅读以了解有关Vault 0.4中主要新功能的更多信息。»证书身份验证的CRL吊销检查证书认证后端现在允许上载crl。每个CRL由一个名称标识，可以单独更新或删除。CRL的处理方式与Chrome的CRLSets类似：Vault力求以确定的方式运行，结果它本身不执行CRL获取，从而避免了软故障条件下的猜测和边缘情况。当用户尝试使用TLS证书对Vault进行身份验证时，将根据现有CRL中包含的序列号检查证书上的序列号。如果序列号包含在任何提供的CRL中，则拒绝身份验证。有关详细信息，请参阅后端文档。»默认策略Vault现在会自动向创建的每个令牌添加名为default的策略。（对于直接令牌创建命令和相关的API调用，有一个选择退出的选项。）其目的是确保令牌在默认情况下能够访问几乎普遍有用的API函数，并且如果访问被拒绝，可能会导致令人困惑的错误。Vault创建的默认策略包含以下内容：路径"auth/token/lookup self"{policy="读取"}路径"auth/token/renew self"{policy="写入"}路径"auth/token/revoke self"{policy="写入"}该策略只允许访问令牌本身的续订、吊销和查找函数。一般来说，令牌没有理由不访问这些端点；但是，虽然不能删除策略，但是在创建策略之后，您可以随意修改策略（包括删除其内容）。如果已经有一个名为default的策略，则Vault不会覆盖它。»PKI后端增强Vault的pki secret后端在0.4中得到了显著增强。在此之前，后端允许使用上载的CA证书向调用方颁发证书和关联的私钥。0.4中添加的新功能包括：生成自签名根签署中间CA CSR灵活处理证书中编码的url签署客户CSR在单个角色中处理多个域更多支持的证书选项/功能下面将详细介绍其中的一些命令和输出示例。为了便于显示示例，将使用Vault CLI，但由于CLI只是Vault JSON API的包装器，因此所有功能都可以通过API提供。注意，并不是所有的选项都显示在这里（或者本文的其他地方）；例如，在生成ca时，有一些选项可以控制密钥类型和长度、输出格式、最大路径长度等等。文档显示了包含所有可用选项的完整API。»第一步首先，我们将添加两个PKI挂载：一个用作根，另一个用作中间层。然后我们将对两者进行优化，使其具有较长的生存期（根证书的生存期不能大于在装载上设置的最大TTL）。最佳做法是限制对根CA的访问（理想情况下，在不处于活动状态的任何时候），因此建议使用单独的装载。$vault mount-path=rootpki pki$vault mount tune-max lease ttl="175200h"rootpki$vault mount-path=intermediatepki pki»终结点URL在生成根目录之前，我们还将配置颁发证书和CRL分发点URL。这将允许在已颁发的证书中对它们进行编码。$vault write rootpki/config/url颁发证书="http://vault.example.com：8200/v1/rootpki/ca"crl_分发_点="http://vault.example.com：8200/v1/rootpki/crl"»生成自签名根根和中间生成端点都允许指定私钥的导出或内部处理，以控制是否将它们返回给调用方。由于这是路径的一部分，acl可以控制是否允许调用方查看私钥（例如，出于备份目的）。以后任何时候都无法检索密钥。$vault write rootpki/root/generate/exported common\u名称=example.com网站ttl="175200小时"键值租赁_id rootpki/root/generate/exported/0e3a656e-bfa5-230a-0586-b418e88ed1b2租期63071999租赁可续约假证书-----开始证书-----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或leiqcjnmrvxzwx6u9ay/oRyfqDtw3b9V8NBcONaG7yVlvyGo1jxzt9Iiyf+oQXLUhbfqq0RB+UNBLSPAMRND5UQQYR5WMXPFProgzisJ2T+TbJUKTRII2KH2NVDOGOEI9W20LMDFNMGQ66H9ALMUSVKH6QJVVKHDW9MF5HVHWTZLJppRQjEgaIcZ79OVwmaD2i15Xbvf72ANmBSE=-----结束证书-----有效期：2.080084948e+09颁发证书-----开始证书-----miid1jccar6gawibagiouoe9nymt2uijjqvmyspwsod/NGq4wDQYJKoZIhvcNAQEL...ppRQjEgaIcZ79OVwmaD2i15Xbvf72ANmBSE=-----结束证书-----私钥-----开始RSA私钥-----MIIEPAIBAAKCAQEAXF7WLBY5GYP2GZE9UOFOFOTYZKN3B72WP3IEYW/OLE3X83H...Fg/sOe3Cx1vCc+M/hjaRTq3CnQJGOUCSnMF/XkhjtVQLk6awNDuF7g==-----结束RSA私钥-----私钥类型rsa序列号38:4f:4d:62:6b:76:b8:82:75:41:53:32:b2:95:92:39:df:cd:1a:ae查看证书，我们可以看到它是自己的颁发者，签名密钥与主题密钥匹配：证书：数据：版本：3（0x2）序列号：38:4f:4d:62:6b:76:b8:82:75:41:53:32:b2:95:92:39:df:cd:1a:ae签名算法：sha256withrsa加密发行人：中国大陆=example.com网站有效性不早于：2015年12月6日01:22:28 GMT不迟于：12月1日01:22:28 2035 GMT主题：CN=example.com网站主题公钥信息：公钥算法：rsa加密2048位：（公钥）模数：00:c5:fe:d6:2d:b6:39:83:23:f6:19:91:3d:52:87:c5:a0:eb:72:66:49:f7:6f:bd:96:a7:72:1e:61:6f:e8:95：编辑：f1:5f:cd:e1:39:c5:cc:50:fd:0b:3e:41：b1:f2:7f:35:95:31:3b:18:59:34:43:93:b2:a8:f0:66:71:0c:fe:41:b1:9e:76:26:81:f6:52:75:fc:43:10： 1a:eb:7d:0c:8e:65:dc:0c:cc:91:8c:0c:ab:e1:1a:b2:53:e7:62:53:71:04:9e:4b:34:c9:79:55:编辑：e4:2b:c3:99:98:b6:ec:5f:f3:da:49:10:84:d5:18:16： 8c:32:ac:44:8b:42:7c:3a:33:74:ef:c5:e4:bb:55:00:77:70:b6:4d:d6:a0:dd:2c:12:ce:53:02:2b:6d:b9:f2:04:2c:6a:91:31:48:b9:a0:f3:6a:c9:3d:37:5e:12:ea:4e:d7:ed:7b:4d:5b:35:68:f2:21:f2:c5:9a:23:89:c3:7f:35:67:df:f9:b4:76:da:99:cd:抄送：f1:0b:81:47:ff:de:a1:22:49:f1:1f:a4:d5:68：3b:75:85:3d:27:fd:5d:6e:53:09:ec:db:84:bf:f7:26:4a:c2:27:62:64:e6:77:b5:22:8e:76:ab:34:c0:6e:48:77:cb:b1:e9:03:31:2a:a1:f7:37:9d:7c:1a:c1:71分指数：65537（0x10001）X509v3扩展：X509v3密钥用法：关键数字签名、密钥加密、密钥协议、证书签名、CRL签名X509v3扩展密钥用法：OCSP签署X509v3基本约束：关键CA:是的X509v3主题密钥标识符：CF:67:67:1A:8B:32:5E:FE:2A:7C:34:EC:E3:71:20:6F:F2:69:BB:3C密钥颁发机构标识符X509v3:密钥ID:CF：67:67:1A:8B:32:5E:FE:2A:7C:34:EC:E3:71:20:6F:F2:69:BB:3C权限信息访问：CA发行人-URI::8200/v1/rootpki/caX509v3使用者替代名称：域名：example.comX509v3 CRL分发点：全名：URI::8200/v1/rootpki/crl签名算法：sha256withrsa加密比利时：9b:43:db:04:4c:44:f3:b7:49:4b:2a:81:57:8a:09:80:9f:a2:9e:酶代码：76:10:e9:88:76:45:6c:06:c9:3b:0a:酶代码：d1:c9:15：7f:b2:f4:22:02:bc:1f:d4:4c:20:a5:e4:a0:cf:b3:a3:cb:c6:6c:e2:6f:0b:28:74:82:18:0a:09:f4:e4:13:20:a6:b6:cc:3d:91:47:82:c1:3d:4d:2f:fa:5e:54:a9:0b:59:89:96:b1:c4:0d:e0:39:37:3a:3d:6d:63:ab:2d:e2:10:70:93:4c:ae:fc:59:59:7e:ae:f5:a6:3f:a1:1c:9f:a8:3b:70:dd:bf:55:f0:d0:5c:38：d6:86:ef:25:65:bf:21:a8:d6:3c:73:b7:d2:22:c9:ff:a8:41:72:d4:85:b7:ea:ab:44:41:f9:49:c1:6e:54:a9:68:c4:4d:77：9b:aa:0d:e9:18:47:95:8c:5e:97:cf:ac:e8:19:8a:c2:76:b7:e4:db:8d:49:13:44:88:b6:90:7