Problème de connexion Vault client TLS mutualisé

RSS
nathalie57 09/01/2026
RÉSOLU
Retour Répondre
Avatar de nathalie57
nathalie57
Auteur
Avatar de nathalie57
nathalie57
Auteur

yo la team j'essaie de setup vault avec du tls mutuel pour les clients mais j'ai un souci j'arrive pas à faire la connexion j'ai des erreurs de handshake tls côté client pourtant mes certs sont générés avec un ca interne et ils sont valides.

# exemple d'erreur client
Error initializing Vault: Error making API request.

URL: GET https://vault.example.com/v1/sys/health
Code: 500. Errors:
* x509: certificate signed by unknown authority
09/01/2026 à 12:59

6 commentaires

Avatar de olivier-pichon
olivier-pichon
Membre
Avatar de olivier-pichon
olivier-pichon
Membre

hello t'as bien la chaîne de ca complète sur le client ? et les sans (subject alternative names) dans le cert client ils matchent bien l'ip ou le dns du client ? des fois c'est juste ça un petit détail dns ou une chaîne ca incomplète

10/01/2026 à 10:36
Avatar de nathalie57
nathalie57
Auteur
Avatar de nathalie57
nathalie57
Auteur

oui ca chaine est là j'ai mis le cert ca racine dans le trust store du client. les san sont pour l'ip du client c bon. j'ai checké l'horloge aussi c syncro. la config client est genre ça

# vault client config
tls_skip_verify = false
tls_ca_file = "/path/to/my-ca.pem"
tls_cert_file = "/path/to/client-cert.pem"
tls_key_file = "/path/to/client-key.pem"
11/01/2026 à 09:12
Avatar de morin-thierry
morin-thierry
Membre
Avatar de morin-thierry
morin-thierry
Membre

côté serveur vault t'as quoi dans ton listener tls ? t'as bien mis tls_client_ca_file pour que vault truste ton ca client ? et surtout vérifie que tls_disable_client_certs n'est pas à true sinon vault demande pas le client cert

12/01/2026 à 04:24
Avatar de nathalie57
nathalie57
Auteur
Avatar de nathalie57
nathalie57
Auteur

ah bien vu j'avais pas pensé à tls_client_ca_file. oui il est là et tls_disable_client_certs est à false. voici le bloc de ma config

# vault server config (extrait)
listener "tcp" {
  address = "0.0.0.0:8200"
  tls_disable = false
  tls_cert_file = "/path/to/server-cert.pem"
  tls_key_file = "/path/to/server-key.pem"
  tls_client_ca_file = "/path/to/my-ca.pem" # mon ca racine
  tls_disable_client_certs = false
}
12/01/2026 à 23:24
Avatar de olivier-pichon
olivier-pichon
Membre
Avatar de olivier-pichon
olivier-pichon
Membre

hum ok la config semble good. est-ce que ton cert client a bien l'extended key usage pour "tls client authentication" ? des fois on génère un cert sans ça et vault le rejette

13/01/2026 à 22:47
Avatar de nathalie57
nathalie57
Auteur
Avatar de nathalie57
nathalie57
Auteur

PUTAIN C'EST ÇA ! j'ai vérifié mon client cert et il a pas l'extended key usage pour client auth. il a juste server auth et digital signature. je regénère le cert avec la bonne option. merci mec j'aurais pu chercher 100 ans là-dessus.

EDIT: yep c'était bien ça. une fois le cert regénéré avec client auth c'est passé direct. quelle galère.

14/01/2026 à 18:58

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire