9 commentaires
yo le NLB en passthrough ça veut dire que c'est Vault qui doit terminer le TLS. t'as bien mis les certificats sur Vault ? et son config.hcl il pointe bien vers son propre cert chain complet pour le listener ?
exact faut que le serveur Vault ait son propre cert et sa clé. le tls_disable doit être à false dans le listener. et le tls_cert_file et tls_key_file configurés. sinon le client Vault essaie de parler à un serveur qui se présente pas correctement et ça foire le handshake
ah ok je pensais que le passthrough gérait ça de base. j'ai mis mes fichiers de cert dans vault mais sans spécifier le chain complet. je vais recheck ça
c'est ça le passthrough ça forward juste les paquets tls. ça décharge pas le chiffrement du lb. t'as bien mis le ca root et les intermédiaires dans le tls_cert_file de vault ? des fois on oublie un maillon
ouais et gaffe au nom d'hôte aussi. le certificat de Vault doit couvrir l'hostname que ton client utilise pour se connecter (vault.mycompany.com). si c'est une IP ou un autre nom ça va casser
bon j'ai recollé tout le chain de cert dans le fichier et bingo ! vault operator init est passé. c'était bien l'histoire du chain manquant. thx la team pour le coup de main je m'arrachais les cheveux là dessus
par contre petite question subsidiaire le tls_disable_client_certs on le laisse à false ? on veut pas d'authentification par cert client pour l'instant
oui tu peux laisser tls_disable_client_certs = true si tu veux pas d'authentification client. ça simplifie. c bon si t'as d'autres méthodes d'auth configurées
Laisser une réponse
Vous devez être connecté pour poster un message !
salut la gang ! on essaie de déployer Vault avec un LB AWS (NLB) en mode TLS passthrough devant pour gérer nos certificats externes mais vault n'arrive pas à s'initialiser. quand j'essaie de faire un vault operator init, ça mouline et ça me sort des erreurs de connexion ssl handshake
le certificat est bon sur le NLB et la config vault est basique. qqun a déjà eu ce setup bizarre ?