7 commentaires
yo. déjà vérifie bien que ton key_label existe sur le HSM et qu'il est accessible. des fois le user qui lance Vault a pas les bonnes permissions sur le token ou le slot. t'as quoi comme erreur exacte dans les logs Vault quand tu tentes de créer la CA ?
CKR_DEVICE_ERROR c'est souvent un problème de communication entre Vault et le HSM ou de config du HSM lui-même. t'as vérifié les logs du CloudHSM daemon ? des fois il y a des messages plus précis là-bas sur pourquoi la clé est pas dispo ou l'opération échoue.
vault est en 1.15.1 et le client cloudhsm est le dernier, 5.7.0. j'ai checké les logs du daemon cloudhsm, y'a rien de spécial. juste des tentatives de connexion de vault qui échouent au moment de l'opération crypto. je vais essayer de re-provisionner le key_label pour voir.
ok essaye de faire un test direct avec l'outil pkcs11-tool pour générer une clé ou signer un truc sans passer par Vault. si ça foire là aussi, le problème est clairement côté HSM ou lib et pas Vault. ça isole le truc.
BINGO ! avec pkcs11-tool j'ai eu une erreur de pin. En fait le pin configuré dans Vault c'était le pin utilisateur du HSM et pas le pin de l'utilisateur cryptographique pour l'opération. petite confusion de ma part. j'ai mis le bon pin dans la config Vault et ça passe nickel. thx les gars !
Laisser une réponse
Vous devez être connecté pour poster un message !
Salut la team ! On est en train d'intégrer HashiCorp Vault avec un HSM (CloudHSM AWS) pour le backend PKI et ça part en vrille un peu. L'init de Vault se passe bien, le unseal aussi, mais quand j'essaye de générer une CA racine ou intermédiaire via le backend PKI, j'ai des erreurs de crypto. On a bien configuré le client PKCS#11 et le module HSM dans la config Vault. Des idées de pistes ?