Vault HSM integration pour PKI galère avec les CAs

Question

Salut la team ! On est en train d'intégrer HashiCorp Vault avec un HSM (CloudHSM AWS) pour le backend PKI et ça part en vrille un peu. L'init de Vault se passe bien, le unseal aussi, mais quand j'essaye de générer une CA racine ou intermédiaire via le backend PKI, j'ai des erreurs de crypto. On a bien configuré le client PKCS#11 et le module HSM dans la config Vault. Des idées de pistes ?

# fragment de config Vault
listener "tcp" {
  address = "0.0.0.0:8200"
  tls_disable = true
}
storage "consul" {
  address = "127.0.0.1:8500"
  path    = "vault/"
}
seal "pkcs11" {
  lib       = "/opt/cloudhsm/lib/libcloudhsm_pkcs11.so"
  slot      = "0"
  pin       = "XXXXXX" # pas le vrai pin ici bien sûr
  key_label = "vault-root-key"
}

emmanuelle61 · Answer

yo. déjà vérifie bien que ton `key_label` existe sur le HSM et qu'il est accessible. des fois le user qui lance Vault a pas les bonnes permissions sur le token ou le slot. t'as quoi comme erreur exacte dans les logs Vault quand tu tentes de créer la CA ?

joseph04 · Answer

ouais le key_label je l'ai créé avec `cloudhsm_mgmt_util` et il est là. les logs disent un truc du genre `failed to generate key: PKCS#11: CKR_DEVICE_ERROR`. ça sent la permission ou un truc plus profond.

guillaume-marty · Answer

CKR_DEVICE_ERROR c'est souvent un problème de communication entre Vault et le HSM ou de config du HSM lui-même. t'as vérifié les logs du CloudHSM daemon ? des fois il y a des messages plus précis là-bas sur pourquoi la clé est pas dispo ou l'opération échoue.

william80 · Answer

vérifie aussi la version de ta lib PKCS#11. avec certaines versions de Vault et CloudHSM y'a eu des incompatibilités. t'es sur quelle version de Vault et quelle version du client CloudHSM/librairie ?

joseph04 · Answer

vault est en 1.15.1 et le client cloudhsm est le dernier, 5.7.0. j'ai checké les logs du daemon cloudhsm, y'a rien de spécial. juste des tentatives de connexion de vault qui échouent au moment de l'opération crypto. je vais essayer de re-provisionner le key_label pour voir.

emmanuelle61 · Answer

ok essaye de faire un test direct avec l'outil `pkcs11-tool` pour générer une clé ou signer un truc sans passer par Vault. si ça foire là aussi, le problème est clairement côté HSM ou lib et pas Vault. ça isole le truc.

joseph04 · Answer

BINGO ! avec `pkcs11-tool` j'ai eu une erreur de pin. En fait le pin configuré dans Vault c'était le pin utilisateur du HSM et pas le pin de l'utilisateur cryptographique pour l'opération. petite confusion de ma part. j'ai mis le bon pin dans la config Vault et ça passe nickel. thx les gars !

Vault HSM integration pour PKI galère avec les CAs

Commentaires

Laisser une réponse

Déploiement et Backup automatique d'une application Symfony 4

La supervision dans kubernetes

Conclusion du cours Kubernetes

Rejoindre la communauté