Uso de EJBCA Enterprise para emitir y administrar certificados a través de (Hashicorp) Vault
HashiCorp Vault es un producto popular para gestionar secretos. Al usar microservicios a gran escala, hay muchos servicios y secretos que gestionar. HashiCorp Vault incluye una Autoridad de Certificación (CA) integrada; sin embargo, usar esta CA independiente creará una PKI independiente, no conectada a la PKI corporativa. Una PKI independiente no suele ser deseable en las organizaciones, ya que no cumple con los requisitos regulatorios ni de seguridad.
A continuación se describen diferentes formas de incorporar Vault PKI en una PKI administrada corporativamente y controlada:
Emisión desde una PKI externa en lugar de una CA de bóveda integrada
Usando un plugin de secretos de Vault, es posible reemplazar completamente la CA integrada de Vault por una CA externa. Esto permite la gestión y el control total de la PKI, independientemente de la gestión de Vault, mientras que los clientes usan Vault para la gestión de todos los secretos y la interfaz con la CA. La PKI completa, las CA raíz y las CA subordinadas están sujetas a la Política de Certificados (PC) y la Declaración de Prácticas de Certificación (CPS) de PKI y cumplen con la normativa. Para lograr todo esto, necesita un plugin de secretos de Vault que permita usar EJBCA con la misma transparencia que la CA integrada de Vault. Emitir un certificado desde EJBCA usando Vault es tan sencillo como ejecutar lo siguiente:
vault write ejbca/enrollCSR/TLSServer csr= @csr .pem username=bobHay varios complementos disponibles para lograr esto:
Un complemento de secretos de prueba de concepto para EJBCA. Consulte la guía de integración "Integración del complemento EJBCA con Hashicorp Vault" y, para obtener más información sobre la instalación y el uso del complemento EJBCA Vault, consulte el GitHub de Keyfactor , donde puede descargarlo.
Un complemento de calidad de producción para Keyfactor Command. Consulta el GitHub de Keyfactor, donde puedes descargarlo.
Manual de Ansible para implementar Vault con el complemento EJBCA
PrimeKey proporciona un complemento EJBCA Vault para el playbook de Ansible que permite implementar Vault con el complemento EJBCA, lo que permite a los equipos de DevOps configurar fácilmente Vault integrado con EJBCA. Para obtener más información, consulte Keyfactor GitHub/Ansible .
Emisión de una Sub CA a Vault
Para integrar Vault completamente en las políticas de su organización y garantizar el cumplimiento y el control de todas las autoridades de certificación, es posible emitir una CA subordinada en Vault desde una CA raíz en EJBCA. Esto permite controlar la CA subordinada desde la PKI corporativa, lo que permite su reconocimiento y el cumplimiento normativo. Para obtener más información sobre cómo crear una CA subordinada en Vault y obtener su firma por una CA raíz en EJBCA, consulte " CA subordinada de HashiCorp Vault a raíz de EJBCA" .
Manual de Ansible para subordinar Vault CA a EJBCA
PrimeKey proporciona un ejemplo de manual de estrategias de Ansible EJBCA Vault SubCA para automatizar la subordinación y mantenerlo optimizado con otras tareas automatizadas de DevOps en una organización.
Para obtener más información, consulte Keyfactor GitHub/Ansible .
Monitoreo de la emisión desde la CA de bóveda interna
Si desea utilizar la Autoridad de Certificación (AC) integrada de Vault, puede usar un complemento de AC de Vault modificado para supervisar los certificados emitidos por la AC interna. Los certificados se emiten desde la AC interna de Vault, en lugar de una AC corporativa central (compatible), y se informa de cada certificado emitido por Vault.
PrimeKey proporciona un complemento EJBCA Vault Monitor que envía todos los certificados emitidos para un mayor monitoreo y registra automáticamente los certificados emitidos por la bóveda según la configuración y las necesidades de su organización; consulte Keyfactor GitHub .