Vault 是否支持两个 CA 中间体来签署两个不同的环境证书?
Does Vault support two CA intermediates to sign two different environment certs?
有多个非生产环境,例如DEV、TEST、QA、SIT、PKG,如果我们想为每个环境管理一个单独的CA来签署证书,我们是否应该为每个环境设置一个单独的vault集群每个环境?
有什么方法可以在同一个保管库集群中管理所有这些 CA?
您可以在单个保管库集群中创建任意数量的PKI secrets engines。
创建和安装 PKI 引擎是单独的安装点,而不是单独的集群(这会产生大量开销)。例如:pki/dev、pki/test,等等...每个引擎都会持有相应环境的 CA。
这适用于所有秘密引擎:Vault 乐于安装多个,并且所有操作都在特定路径上。您当然可以对这些引擎应用单独的策略。
有多个非生产环境,例如DEV、TEST、QA、SIT、PKG,如果我们想为每个环境管理一个单独的CA来签署证书,我们是否应该为每个环境设置一个单独的vault集群每个环境?
有什么方法可以在同一个保管库集群中管理所有这些 CA?
您可以在单个保管库集群中创建任意数量的PKI secrets engines。
创建和安装 PKI 引擎是单独的安装点,而不是单独的集群(这会产生大量开销)。例如:pki/dev、pki/test,等等...每个引擎都会持有相应环境的 CA。
这适用于所有秘密引擎:Vault 乐于安装多个,并且所有操作都在特定路径上。您当然可以对这些引擎应用单独的策略。