Vault qui refuse de s'initialiser derrière un LB avec TLS passthrough

yo le NLB en passthrough ça veut dire que c'est Vault qui doit terminer le TLS. t'as bien mis les certificats sur Vault ? et son config.hcl il pointe bien vers son propre cert chain complet pour le listener ?

exact faut que le serveur Vault ait son propre cert et sa clé. le `tls_disable` doit être à `false` dans le listener. et le `tls_cert_file` et `tls_key_file` configurés. sinon le client Vault essaie de parler à un serveur qui se présente pas correctement et ça foire le handshake

ah ok je pensais que le passthrough gérait ça de base. j'ai mis mes fichiers de cert dans vault mais sans spécifier le chain complet. je vais recheck ça

c'est ça le passthrough ça forward juste les paquets tls. ça décharge pas le chiffrement du lb. t'as bien mis le ca root et les intermédiaires dans le `tls_cert_file` de vault ? des fois on oublie un maillon

ouais et gaffe au nom d'hôte aussi. le certificat de Vault doit couvrir l'hostname que ton client utilise pour se connecter (vault.mycompany.com). si c'est une IP ou un autre nom ça va casser

bon j'ai recollé tout le chain de cert dans le fichier et bingo ! vault operator init est passé. c'était bien l'histoire du chain manquant. thx la team pour le coup de main je m'arrachais les cheveux là dessus

par contre petite question subsidiaire le tls_disable_client_certs on le laisse à false ? on veut pas d'authentification par cert client pour l'instant

oui tu peux laisser `tls_disable_client_certs = true` si tu veux pas d'authentification client. ça simplifie. c bon si t'as d'autres méthodes d'auth configurées

d'acc nickel thx !