支持 Vault 的 Secret 引擎
Spring Vault 附带了几个扩展来支持 Vault 的各种秘密引擎。
具体来说, Spring Vault 附带了以下扩展:
-
转换(Enterprise 功能)
-
系统后端
您可以通过VaultTemplate直接 (VaultTemplate.read(…),VaultTemplate.write(…)).
键值版本 1(“unversioned secrets”)
这kvsecrets 引擎用于将任意 secret 存储在为 Vault 配置的物理存储中。
运行kvSecrets Engine 中,仅保留最近写入的键值。
非版本控制 kv 的好处是减少了每个键的存储大小,因为没有存储额外的元数据或历史记录。
此外,发送到以这种方式配置的后端的请求性能更高,因为存储调用更少,并且任何给定请求都没有锁定。
Spring Vault 附带了一个专用的键值 API 来封装各个键值 API 实现之间的差异。VaultKeyValueOperations遵循 Vault CLI 设计。
这是 Vault 的主要命令行工具,提供如下命令:vault kv get,vault kv put等等。
通过指定版本和挂载路径,您可以将此 API 与两个 Key-Value 引擎版本一起使用。 以下示例使用 Key-Value 版本 1:
VaultOperations operations = new VaultTemplate(new VaultEndpoint());
VaultKeyValueOperations keyValueOperations = operations.opsForKeyValue("secret",
VaultKeyValueOperationsSupport.KeyValueBackend.KV_1);
keyValueOperations.put("elvis", Collections.singletonMap("password", "409-52-2002"));
VaultResponse read = keyValueOperations.get("elvis");
read.getRequiredData().get("social-security-number");VaultKeyValueOperations支持所有 Key-Value作,例如put,get,delete,list.
或者,可以通过 API 使用VaultTemplate由于其直接映射和简单使用,因为 KEY 和 Responses 直接映射到输入和输出键。
以下示例说明了在mykey.
这kvSecrets Engine 挂载在secret:
VaultOperations operations = new VaultTemplate(new VaultEndpoint());
operations.write("secret/elvis", Collections.singletonMap("social-security-number", "409-52-2002"));
VaultResponse read = operations.read("secret/elvis");
read.getRequiredData().get("social-security-number");您可以在 Vault 参考文档中找到有关 Vault 键值版本 1 API 的更多详细信息。
键值版本 2(“版本控制密钥”)
您可以运行kvSecrets Engine 中的一个版本。
本节介绍如何使用版本 2。当运行 2 版本的kvbackend 一个 key 可以保留可配置数量的版本。
您可以检索旧版本的元数据和数据。
此外,您还可以使用 check-and-set作来避免无意中覆盖数据。
与键值版本 1(“未版本控制的秘密”)类似,Spring Vault 附带了一个专用的键值 API 来封装各个键值 API 实现之间的差异。
Spring Vault 附带了一个专用的键值 API 来封装各个键值 API 实现之间的差异。VaultKeyValueOperations遵循 Vault CLI 设计。
这是 Vault 的主要命令行工具,提供如下命令vault kv get,vault kv put等。
通过指定版本和挂载路径,您可以将此 API 与两个 Key-Value 引擎版本一起使用。 以下示例使用 Key-Value 版本 2:
VaultOperations operations = new VaultTemplate(new VaultEndpoint());
VaultKeyValueOperations keyValueOperations = operations.opsForKeyValue("secret",
VaultKeyValueOperationsSupport.KeyValueBackend.KV_2);
keyValueOperations.put("elvis", Collections.singletonMap("social-security-number", "409-52-2002"));
VaultResponse read = keyValueOperations.get("elvis");
read.getRequiredData().get("social-security-number");VaultKeyValueOperations支持所有 Key-Value作,例如put,get,delete,list.
您还可以与版本控制的键值 API 的具体内容进行交互。如果要获取特定密钥或需要访问元数据,这将非常有用。
VaultOperations operations = new VaultTemplate(new VaultEndpoint());
VaultVersionedKeyValueOperations versionedOperations = operations.opsForVersionedKeyValue("secret");
Versioned.Metadata metadata = versionedOperations.put("elvis", (1)
Collections.singletonMap("social-security-number", "409-52-2002"));
Version version = metadata.getVersion(); (2)
Versioned<Object> ssn = versionedOperations.get("elvis", Version.from(42)); (3)
Versioned<SocialSecurityNumber> mappedSsn = versionedOperations.get("elvis", (4)
Version.from(42), SocialSecurityNumber.class);
Versioned<Map<String,String>> versioned = Versioned.create(Collections (5)
.singletonMap("social-security-number", "409-52-2002"),
Version.from(42));
versionedOperations.put("elvis", version);| 1 | 将机密存储在elvis在secret/安装。 |
| 2 | 将数据存储在版本控制后端会返回版本号等元数据。 |
| 3 | 版本控制的键值 API 允许检索由版本号标识的特定版本。 |
| 4 | 版本控制的键值密钥可以映射到值对象中。 |
| 5 | 使用 CAS 更新版本控制密钥时,输入必须引用之前获取的版本。 |
使用kvv2 Secrets Engine 通过VaultTemplate是可能的。
这不是最方便的方法,因为 API 为上下文路径以及 input/output 的表示方式提供了一种不同的方法。
具体来说,与实际 secret 的交互需要包装和解包数据部分,并引入data/mount 和 secrets 键之间的 path 段。
VaultOperations operations = new VaultTemplate(new VaultEndpoint());
operations.write("secret/data/elvis", Collections.singletonMap("data",
Collections.singletonMap("social-security-number", "409-52-2002")));
VaultResponse read = operations.read("secret/data/ykey");
Map<String,String> data = (Map<String, String>) read.getRequiredData().get("data");
data.get("social-security-number");您可以在 Vault 参考文档中找到有关 Vault 键值版本 2 API 的更多详细信息。
PKI(公钥基础设施)
这pkiSecrets Engine 通过实施证书颁发机构作来表示证书的后端。
PKI 密钥引擎生成动态 X.509 证书。 借助此密钥引擎,服务可以获取证书,而无需经历通常的手动过程,例如生成私钥和 CSR、提交到 CA 并等待验证和签名过程完成。 Vault 的内置身份验证和授权机制提供了验证功能。
Spring Vault 支持通过以下方式颁发、签名、撤销证书和 CRL 检索VaultPkiOperations.
所有其他 PKI 功能都可以通过以下方式使用VaultOperations.
以下示例简要说明了如何颁发和吊销证书的用法:
VaultOperations operations = new VaultTemplate(new VaultEndpoint());
VaultPkiOperations pkiOperations = operations.opsForPki("pki");
VaultCertificateRequest request = VaultCertificateRequest.builder() (1)
.ttl(Duration.ofHours(48))
.altNames(Arrays.asList("prod.dc-1.example.com", "prod.dc-2.example.com"))
.withIpSubjectAltName("1.2.3.4")
.commonName("hello.example.com")
.build();
VaultCertificateResponse response = pkiOperations.issueCertificate("production", request); (2)
CertificateBundle certificateBundle = response.getRequiredData();
KeyStore keyStore = certificateBundle.createKeyStore("my-keystore"); (3)
KeySpec privateKey = certificateBundle.getPrivateKeySpec(); (4)
X509Certificate certificate = certificateBundle.getX509Certificate();
X509Certificate caCertificate = certificateBundle.getX509IssuerCertificate();
pkiOperations.revoke(certificateBundle.getSerialNumber()); (5)| 1 | 使用VaultCertificateRequest架构工人。 |
| 2 | 从 Vault 请求证书。
Vault 充当证书颁发机构,并使用签名的 X.509 证书进行响应。
实际响应是一个CertificateBundle. |
| 3 | 您可以直接以 Java KeyStore 的形式获取生成的证书,其中包含公钥和私钥以及颁发者证书。KeyStore 具有广泛的用途,这使得这种格式适合配置(例如,HTTP 客户端、数据库驱动程序或 SSL 保护的 HTTP 服务器)。 |
| 4 | CertificateBundle允许直接通过 Java Cryptography Extension API 访问私钥以及公钥和颁发者证书。 |
| 5 | 一旦证书不再使用(或已泄露),您可以通过其序列号吊销该证书。 Vault 在其 CRL 中包含已吊销的证书。 |
您可以在 Vault 参考文档中找到有关 Vault PKI 密钥 API 的更多详细信息。
Token 鉴权后端
此后端是不与实际密钥交互的身份验证后端。 相反,它提供对访问令牌管理的访问权限。 您可以在 Authentication methods 一章中阅读有关基于 Token 的身份验证的更多信息。
这token身份验证方法是内置的,并自动在/auth/token.
它允许用户使用令牌进行身份验证,以及创建新令牌、按令牌撤销密钥等。
当任何其他身份验证方法返回身份时,Vault 核心会调用 token 方法为该身份创建新的唯一令牌。
您还可以使用令牌存储来绕过任何其他身份验证方法。您可以直接创建 Token,也可以对 Token 执行各种其他作,例如续订和撤销。
Spring Vault 使用此后端来更新和撤销由配置的身份验证方法提供的会话令牌。
以下示例展示了如何从应用程序中请求、续订和撤销 Vault 令牌:
VaultOperations operations = new VaultTemplate(new VaultEndpoint());
VaultTokenOperations tokenOperations = operations.opsForToken();
VaultTokenResponse tokenResponse = tokenOperations.create(); (1)
VaultToken justAToken = tokenResponse.getToken();
VaultTokenRequest tokenRequest = VaultTokenRequest.builder().withPolicy("policy-for-myapp")
.displayName("Access tokens for myapp")
.renewable()
.ttl(Duration.ofHours(1))
.build();
VaultTokenResponse appTokenResponse = tokenOperations.create(tokenRequest); (2)
VaultToken appToken = appTokenResponse.getToken();
tokenOperations.renew(appToken); (3)
tokenOperations.revoke(appToken); (4)| 1 | 通过应用角色默认值创建令牌。 |
| 2 | 使用生成器 API,您可以为要请求的令牌定义精细设置。
请求令牌会返回一个VaultToken,它用作 Vault 令牌的值对象。 |
| 3 | 您可以通过 Token API 续订 Token。通常,这是由SessionManager以跟踪 Vault 会话令牌。 |
| 4 | 如果需要,可以通过令牌 API 撤销令牌。通常,这是由SessionManager以跟踪 Vault 会话令牌。 |
您可以在 Vault 参考文档中找到有关 Vault Token Auth Method API 的更多详细信息。
Transit 后端
传输密钥引擎处理传输中数据的加密功能。 Vault 不存储发送到此 Secrets 引擎的数据。 它也可以看作是 “cryptography as a service” 或 “encryption as a service”。 传输密钥引擎还可以对数据进行签名和验证,生成数据的哈希和 HMAC,并充当随机字节源。
传输的主要用例是加密来自应用程序的数据,同时仍将加密数据存储在某些主数据存储中。 这减轻了应用程序开发人员进行适当加密和解密的负担,并将负担推给了 Vault 的运营商。
Spring Vault 支持广泛的 Transit作:
-
密钥创建
-
密钥重新配置
-
加密/解密/重新包装
-
HMAC 计算
-
签名和签名验证
所有作transit以键为中心。
Transit 引擎支持密钥和各种密钥类型的版本控制。
请注意,密钥类型可能会对可以使用的作施加限制。
以下示例说明如何创建密钥以及如何加密和解密数据:
VaultOperations operations = new VaultTemplate(new VaultEndpoint());
VaultTransitOperations transitOperations = operations.opsForTransit("transit");
transitOperations.createKey("my-aes-key", VaultTransitKeyCreationRequest.ofKeyType("aes128-gcm96")); (1)
String ciphertext = transitOperations.encrypt("my-aes-key", "plaintext to encrypt"); (2)
String plaintext = transitOperations.decrypt("my-aes-key", ciphertext); (3)| 1 | 首先,我们需要一把钥匙。
每个键都需要指定类型。aes128-gcm96支持加密、解密、密钥派生和收敛加密,其中我们本例需要加密和解密。 |
| 2 | 接下来,我们加密一个String,其中包含应加密的纯文本。
输入String使用默认的Charset将字符串编码为其二进制表示形式。
请求令牌会返回一个VaultToken,它用作 Vault 令牌的值对象。
这encryptmethod 返回 Base64 编码的密文,通常以vault:. |
| 3 | 要将密文解密为纯文本,请调用decrypt方法。
它解密密文并返回一个String使用默认 charset 进行解码。 |
前面的示例使用简单字符串进行加密作。 虽然这是一种简单的方法,但它存在 charset 错误配置的风险,并且不是二进制安全的。 当纯文本对数据(如图像、压缩数据或二进制数据结构)使用二进制表示时,需要二进制安全性。
要加密和解密二进制数据,请使用Plaintext和Ciphertextvalue 对象:
byte [] plaintext = "plaintext to encrypt".getBytes();
Ciphertext ciphertext = transitOperations.encrypt("my-aes-key", Plaintext.of(plaintext)); (1)
Plaintext decrypttedPlaintext = transitOperations.decrypt("my-aes-key", ciphertext); (2)| 1 | 假设一个 keymy-aes-key已经就位,我们正在加密Plaintext对象。
作为回报,encryptmethod 返回一个Ciphertext对象。 |
| 2 | 这CiphertextObject 可以直接用于解密,并返回一个Plaintext对象。 |
Plaintext和Ciphertext带有一个上下文对象,VaultTransitContext.
它用于为收敛加密提供 nonce 值,以及用于利用密钥派生的上下文值。
Transit 允许对纯文本进行签名并验证给定纯文本的签名。 签名作需要非对称密钥,通常使用椭圆曲线加密或 RSA。
| 签名使用公钥/私钥拆分来确保真实性。 签名者使用其私有密钥创建签名。否则,任何人都可以以您的名义签署消息。 验证者使用公钥部分来验证签名。实际签名通常是一个哈希值。 在内部,使用私钥计算和加密哈希以创建最终签名。验证会解密签名消息,计算他们自己的纯文本哈希值,并比较两个哈希值以检查签名是否有效。 |
byte [] plaintext = "plaintext to sign".getBytes();
transitOperations.createKey("my-ed25519-key", VaultTransitKeyCreationRequest.ofKeyType("ed25519")); (1)
Signature signature = transitOperations.sign("my-ed25519-key", Plaintext.of(plaintext)); (2)
boolean valid = transitOperations.verify("my-ed25519-key", Plaintext.of(plaintext), signature); (3)您可以在 Vault 参考文档中找到有关 Vault Transit Backend 的更多详细信息。