証明書 API
HashiCorp Vault で証明書を要求および管理します。発行された証明書は Vault のシークレットストアに保管されます。
要求
vault write digicert-pki/issue/[role name] \ common_name="name.winthecustomer.com" \ dns_names="san1.name.winthecustomer.com,san2.name.winthecustomer.com" \ profile_id="0178786e-c738-4b3b-9bbf-9b517e9f0d55" \ tags="tag-test-1,tag-test-2" csr="-----BEGIN CERTIFICATE REQUEST-----\n•••\n•••\n•••\n-----END CERTIFICATE REQUEST-----
キー | 説明 |
|---|---|
[role name] | ロールのフレンドリ名。 |
common_name | 証明書のコモンネーム。 |
dns_name | (オプション)追加の名前を指定します。 |
profile_id | (オプション)証明書プロファイル ID を指定します。 |
tags | タグを指定します。 |
CSR | (オプション)要求の CSR を含めて署名します。 |
応答
Key Value --- ----- certificate -----BEGIN CERTIFICATE-----\n•••\n•••\n•••\n-----END CERTIFICATE----- common_name name.winthecustomer.com private_key -----BEGIN RSA PRIVATE KEY-----\n•••\n•••\n•••\n-----END RSA PRIVATE KEY----- serial_number 748B6C3B014C48A1F3FF0C17C4764428360F68F5
Microsoft CA サーバー証明書のプロファイルのように、証明書が直ちに発行されない場合は、応答で request_id が返されます。
DV 証明書については、request_id と共にその他の DV の詳細、つまり dcv_method および dcv_random_value が応答も返されます。
vault write digicert-pki/issue/[role name] common_name="name.winthecustomer.com" Key Value --- ----- common_name name.winthecustomer.com dcv_method dns-txt-token dcv_random_value _4z93nbtnhqr5v9o84f8m9a6nuu45wyt request_id 95e4032f-bd7b-4b71-9b39-6e9fb0966484
発行の応答で、request_id のある承認待ちの証明書を受け取ります。
vault read digicert-pki/pickup/[request_id]
応答には、承認待ちの証明書のステータスが表示され、正常に発行されれば証明書の詳細が返されます。
DigiCert PKI シークレットエンジンを通じて発行された証明書は、シリアル番号を使用して Vault 内から失効させることができます。
注記
プラグインによって、DigiCert PKI シークレットエンジンで発行された証明書を失効させることはできません。つまり、証明書はプラグインのストレージに存在する必要があります。
vault write digicert-pki/revoke/[role name] serial_number=748B6C3B014C48A1F3FF0C17C4764428360F68F5
説明 | |
|---|---|
[role name] | ロールのフレンドリ名 |
serial_number | 証明書のシリアル番号 |
DigiCert PKI エンジンで発行されたすべての証明書を一覧表示します。コマンドの結果は証明書のシリアル番号の一覧になります。
要求
vault list digicert-pki/certs
シリアル番号を使用して、発行された証明書を取得します。応答では、証明書チェーン、証明書、およびプライベートキーが返されます。
vault read digicert-pki/certs/[serial_number]
キー | 説明 |
|---|---|
serial_number | 証明書のシリアル番号 |