Diciamo che uno ha un servizio fornito da Consul, per cui active.[name-of-service].service.consul
è il link che fornisce al leader host attivo per quel servizio. Come faccio a impostare correttamente TLS con quel nome di dominio .consul
?
Ad esempio, supponiamo di possedere un servizio HashiCorp Vault, per il quale HashiCorp Consul fornisce servizi di scoperta con il HashiCorp Consul DNS interfaccia di active.vault.service.consul
. Se più
Ho sentito che l'opzione di configurazione "-domain" può essere usata per cambiare il TLD da .consul a .somethingelse. Può essere modificato in .subdomain.mymaindomain.com e continuare a funzionare senza raggiungere il DNS aziendale? In tal caso, si potrebbe potenzialmente ottenere un sottodominio reale per un servizio di console / vault e configurare le nostre query DNS di console per rispondere a tale sottodominio. Ciò ci consentirebbe di utilizzare certificati server TLS reali e affidabili per la protezione delle comunicazioni.
Tuttavia, senza utilizzare la funzione CA di Consul, sembra difficile impostare un certificato che abbia active.vault.service.consul
su una SAN.
Devo utilizzare una CA privata per questo?
Consul ha una pagina su come configurare la crittografia con TLS , ma sembra essere più per l'autenticazione dei client che per l'uso con i nomi di dominio.
Ad ogni modo, a parte i certificati autofirmati, come si ottiene TLS per gli URI come https://active.vault.service.consul:8200/sys/health
per funzionare correttamente?