将数据写入 pki/issue/vault-server 时出错:此角色不允许使用通用名称
Error writing data to pki/issue/vault-server: common name not allowed by this role
将保管库 fqdn 从 vault.**.**.**.abc.com 迁移到 vault.**.**.**.def.com 时。遇到这个错误。已经在route53中创建了CNAME,可以解析域名。
URL: PUT https://ap-ops-vault.***.com/v1/pki/issue/vault-server
Code: 400. Errors:
* common name vault.**.**.**.def.com not allowed by this role```
没有看到您的 Vault 角色配置,我猜您设置了 allowed_domains 字段,其中包含 abc.com 但不包含 def.com。您将需要更新角色以允许来自新域的名称。
在 Terraform 中可能是这样的:
resource "vault_pki_secret_backend_role" "role" {
backend = "${vault_pki_secret_backend.pki.path}"
name = "my_role"
...
allowed_domains = ["abc.com", "def.com"]
allow_subdomains = true
...
}
文档:
将保管库 fqdn 从 vault.**.**.**.abc.com 迁移到 vault.**.**.**.def.com 时。遇到这个错误。已经在route53中创建了CNAME,可以解析域名。
URL: PUT https://ap-ops-vault.***.com/v1/pki/issue/vault-server
Code: 400. Errors:
* common name vault.**.**.**.def.com not allowed by this role```
没有看到您的 Vault 角色配置,我猜您设置了 allowed_domains 字段,其中包含 abc.com 但不包含 def.com。您将需要更新角色以允许来自新域的名称。
在 Terraform 中可能是这样的:
resource "vault_pki_secret_backend_role" "role" {
backend = "${vault_pki_secret_backend.pki.path}"
name = "my_role"
...
allowed_domains = ["abc.com", "def.com"]
allow_subdomains = true
...
}
文档: