Problème de connexion Vault client TLS mutualisé

hello t'as bien la chaîne de ca complète sur le client ? et les sans (subject alternative names) dans le cert client ils matchent bien l'ip ou le dns du client ? des fois c'est juste ça un petit détail dns ou une chaîne ca incomplète

oui ca chaine est là j'ai mis le cert ca racine dans le trust store du client. les san sont pour l'ip du client c bon. j'ai checké l'horloge aussi c syncro. la config client est genre ça

# vault client config
tls_skip_verify = false
tls_ca_file = "/path/to/my-ca.pem"
tls_cert_file = "/path/to/client-cert.pem"
tls_key_file = "/path/to/client-key.pem"

côté serveur vault t'as quoi dans ton listener tls ? t'as bien mis tls_client_ca_file pour que vault truste ton ca client ? et surtout vérifie que tls_disable_client_certs n'est pas à true sinon vault demande pas le client cert

ah bien vu j'avais pas pensé à tls_client_ca_file. oui il est là et tls_disable_client_certs est à false. voici le bloc de ma config

# vault server config (extrait)
listener "tcp" {
  address = "0.0.0.0:8200"
  tls_disable = false
  tls_cert_file = "/path/to/server-cert.pem"
  tls_key_file = "/path/to/server-key.pem"
  tls_client_ca_file = "/path/to/my-ca.pem" # mon ca racine
  tls_disable_client_certs = false
}

hum ok la config semble good. est-ce que ton cert client a bien l'extended key usage pour "tls client authentication" ? des fois on génère un cert sans ça et vault le rejette

PUTAIN C'EST ÇA ! j'ai vérifié mon client cert et il a pas l'extended key usage pour client auth. il a juste server auth et digital signature. je regénère le cert avec la bonne option. merci mec j'aurais pu chercher 100 ans là-dessus.

EDIT: yep c'était bien ça. une fois le cert regénéré avec client auth c'est passé direct. quelle galère.