了解生成 fullchain.pem 和 privkey.pem 适合此集群设置的位置

Understanding where generating fullchain.pem and privkey.pem fits into this cluster setup

我使用这个 repo https://github.com/scarolan/vault-aws-cf 生成了一个用于机密管理的 HashiCorp Vault 和 HashiCorp Consul 集群。在设置过程中,要求保管库 AMI 需要证书,在本例中为 fullchain.pemprivkey.pem

他们在此设置中的目的是什么?我在 Amazon Web Services 上为 https 生成了托管证书,但想了解证书的 AMI 服务器要求。

这些证书用于您的 https 侦听器,例如 here

您通过 AWS ACM 生成的 AWS 证书将无法使用,因为它们由 AWS 管理。

您可以通过 ACM 生成 AWS 证书,但您还需要访问私钥,例如 https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-export-private.html。这意味着 AWS 将无法轮换您的证书,您需要手动完成。

您还可以将 Vault 放在 ALB 后面,并将您首先生成的证书附加到该 ALB 中。这意味着您的 SSL 在负载均衡器级别终止,并且您的 ALB 和 Vault 之间的流量将未加密。