connexion vault mTLS échoue service account kubernetes
Commentaires
L'erreur `certificate signed by unknown authority` signifie que le client (ton pod) ne fait pas confiance à l'autorité de certification (CA) qui a signé le certificat de Vault. Tu dois injecter le certificat racine de ta CA Vault dans le trust store de ton pod
Pour un pod Kubernetes le plus simple c'est de mettre le `vault_ca.crt` dans un ConfigMap et de monter ce ConfigMap en tant que volume dans ton pod. Ensuite tu configures ton application pour qu'elle utilise ce fichier CA pour valider les connexions TLS
apiVersion: v1kind: ConfigMapmetadata:name: vault-ca-certdata:ca.crt: |-----BEGIN CERTIFICATE-----...
N'oublie pas de vérifier que le hostname que ton application utilise pour se connecter à Vault correspond bien à un des Subject Alternative Names (SAN) dans le certificat du serveur Vault. Si ça matche pas même avec la bonne CA ça va te jeter
OK j'ai créé un ConfigMap avec le certificat CA de Vault et je l'ai monté dans le pod. J'ai configuré mon client Go pour charger cette CA en plus des root CAs système et ça marche. C'était bien le trust store qui manquait. Merci pour l'aide
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
andree-buisson
Membre depuis le 18/10/2024j'essaye de faire parler mon application dans kubernetes avec vault en utilisant mTLS via un service account. j'ai une erreur `x509: certificate signed by unknown authority`. mon vault est self-signed pour le moment.