secrets
GET /cubbyhole/{path}
ID операции: cubbyhole-read
Получение секрета в указанном месте.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Укажите путь к секрету. |
list | string | query | нет | Возвращает список, если true. |
Ответы
200: OK
POST /cubbyhole/{path}
ID операции: cubbyhole-write
Сохраните секрет в указанном месте.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Укажите путь к секрету. |
Ответы
200: OK
DELETE /cubbyhole/{path}
ID операции: cubbyhole-delete
Удаляет секрет в указанном месте.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Укажите путь к секрету. |
Ответы
204: пустое тело
GET /{database_mount_path}/config
ID операции: database-list-connections
Настраивает параметры подключения к плагину базы данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{database_mount_path}/config/{name}
ID операции: database-read-connection-configuration
Настраивает параметры подключения к плагину базы данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | ИмНазвание соединения с базой данных |
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{database_mount_path}/config/{name}
ID операции: database-configure-connection
Настраивает параметры подключения к плагину базы данных.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | ИмНазвание соединения с базой данных |
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_roles | array | нет | Строка или массив имен ролей, которым разрешено получать кредиты из этого соединения с базой данных, разделенные запятыми. Если пусто, то ни одна роль не разрешена. Если “*”, то разрешены все роли. |
password_policy | string | нет | Политика паролей, используемая при генерации паролей. |
plugin_name | string | нет | Имя встроенного или ранее зарегистрированного плагина, известного в vault. Этот метод создаст экземпляр плагина этого типа. |
plugin_version | string | нет | Версия используемого плагина. |
root_rotation_statements | array | нет | Указывает операторы базы данных, которые должны быть выполнены для ротации учетных данных пользователя root. Дополнительную информацию о поддержке и форматировании этого параметра см. на странице API плагина. |
verify_connection | boolean (default: True) | нет | Если true, то данные о соединении проверяются путем фактического подключения к базе данных. По умолчанию установлено значение true. |
Ответы
200: OK
DELETE /{database_mount_path}/config/{name}
ID операции: database-delete-connection-configuration
Настраивает параметры подключения к плагину базы данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | ИмНазвание соединения с базой данных |
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{database_mount_path}/creds/{name}
ID операции: database-generate-credentials
Запрос учетных данных базы данных для определенной роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{database_mount_path}/reset/{name}
ID операции: database-reset-connection
Сбрасывает плагин базы данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | ИмНазвание соединения с базой данных |
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{database_mount_path}/roles
ID операции: database-list-roles
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{database_mount_path}/roles/{name}
ID операции: database-read-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{database_mount_path}/roles/{name}
ID операции: database-write-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
creation_statements | array | нет | Указывает операторы базы данных, выполняемые для создания и настройки пользователя. Дополнительные сведения о поддержке и форматировании этого параметра см. на странице API плагина. |
credential_config | object | нет | Конфигурация для данного credential_type. |
credential_type | string (default: password) | нет | Тип учетных данных для управления. Варианты включают: ‘password’, ‘rsa_private_key’. По умолчанию выбрано значение ‘password’. |
db_name | string | нет | Имя базы данных, на которую действует эта роль. |
default_ttl | integer | нет | Ttl по умолчанию для роли. |
max_ttl | integer | нет | Максимальное время действия учетной записи |
renew_statements | array | нет | Определяет операторы базы данных, которые должны быть выполнены для обновления пользователя. Не все типы плагинов поддерживают эту функциональность. Дополнительную информацию о поддержке и форматировании этого параметра см. на странице API плагина. |
revocation_statements | array | нет | Указывает операторы базы данных, которые должны быть выполнены для отзыва пользователя. Дополнительные сведения о поддержке и форматировании этого параметра см. на странице API плагина. |
rollback_statements | array | нет | Указывает операторы базы данных, которые будут выполняться для отката операции создания в случае ошибки. Не все типы плагинов поддерживают эту функциональность. Дополнительную информацию о поддержке и форматировании этого параметра см. на странице API плагина. |
Ответы
200: OK
DELETE /{database_mount_path}/roles/{name}
ID операции: database-delete-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{database_mount_path}/rotate-role/{name}
ID операции: database-rotate-static-role-credentials
Запрос на изменение учетных данных для статической учетной записи пользователя.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя статической роли |
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{database_mount_path}/rotate-root/{name}
ID операции: database-rotate-root-credentials
Запрос на изменение учетных данных root для определенного соединения с базой данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | ИмНазвание соединения с базой данных |
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{database_mount_path}/static-creds/{name}
ID операции: database-read-static-role-credentials
Запросить учетные данные для определенной статической роли. Эти учетные данные периодически ротируются.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя статической роли. |
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{database_mount_path}/static-roles
ID операции: database-list-static-roles
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{database_mount_path}/static-roles/{name}
ID операции: database-read-static-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{database_mount_path}/static-roles/{name}
ID операции: database-write-static-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
credential_config | object | нет | Конфигурация для данного credential_type. |
credential_type | string (default: password) | нет | Тип учетных данных для управления. Варианты включают: ‘password’, ‘rsa_private_key’. По умолчанию выбрано значение ‘password’. |
db_name | string | нет | Имя базы данных, на которую действует эта роль. |
rotation_period | integer | нет | Период автоматической ротации учетных данных для данного имени пользователя. Недействителен, если не используется вместе с “username”. |
rotation_statements | array | нет | Указывает операторы базы данных, которые будут выполняться для ротации учетных данных. Не все типы плагинов поддерживают эту функциональность. Дополнительную информацию о поддержке и форматировании этого параметра см. на странице API плагина. |
username | string | нет | Имя статической учетной записи пользователя для управления Vault. Требуется указать “rotation_period”. |
Ответы
200: OK
DELETE /{database_mount_path}/static-roles/{name}
ID операции: database-delete-static-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
database_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{kubernetes_mount_path}/check
ID операции: kubernetes-check-configuration
Проверяет, действительна ли конфигурация Kubernetes.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{kubernetes_mount_path}/config
ID операции: kubernetes-read-configuration
Настраивает плагин секретного механизма Kubernetes.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{kubernetes_mount_path}/config
ID операции: kubernetes-configure
Настраивает плагин секретного механизма Kubernetes.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disable_local_ca_jwt | boolean (default: False) | нет | Отключите использование по умолчанию сертификата локального центра сертификации и JWT учетной записи службы при запуске в стручке Kubernetes. |
kubernetes_ca_cert | string | нет | Сертификат ЦС в кодировке PEM, используемый для проверки сертификата сервера Kubernetes API. По умолчанию используется ЦС локального пода, если он найден. |
kubernetes_host | string | нет | URL-адрес API Kubernetes для подключения. По умолчанию https://$KUBERNETES_SERVICE_HOST:KUBERNETES_SERVICE_PORT, если эти переменные окружения установлены. |
service_account_jwt | string | нет | Веб-токен JSON учетной записи службы, используемой механизмом secret engine для управления учетными данными Kubernetes. По умолчанию используется JWT локального пода, если он найден. |
Ответы
200: OK
DELETE /{kubernetes_mount_path}/config
ID операции: kubernetes-delete-configuration
Настраивает плагин секретного механизма Kubernetes.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{kubernetes_mount_path}/creds/{name}
ID операции: kubernetes-generate-credentials
Запросите учетные данные учетной записи службы Kubernetes для данной роли Vault.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя роли хранилища |
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
audiences | array | нет | Целевая аудитория созданных учетных данных |
cluster_role_binding | boolean | нет | Если true, создает ClusterRoleBinding для предоставления прав по всему кластеру, а не внутри пространства имен. Требуется, чтобы роль Vault имела для kubernetes_role_type значение ClusterRole. |
kubernetes_namespace | string | да | Имя пространства имен Kubernetes, в котором будут генерироваться учетные данные |
ttl | integer | нет | TTL сгенерированных учетных данных |
Ответы
200: OK
GET /{kubernetes_mount_path}/roles
ID операции: kubernetes-list-roles
Отображает существующие роли в этом механизме секретов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{kubernetes_mount_path}/roles/{name}
ID операции: kubernetes-read-role
Управляйте ролями, которые можно создать с помощью этого механизма секретов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли |
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{kubernetes_mount_path}/roles/{name}
ID операции: kubernetes-write-role
Управляйте ролями, которые можно создать с помощью этого механизма секретов.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли |
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_kubernetes_namespace_selector | string | нет | Селектор меток для пространств имен Kubernetes, в которых могут быть сгенерированы учетные данные. Принимает объект в формате JSON или YAML. Если задан с allowed_kubernetes_namespaces, условия конъюнктивны. |
allowed_kubernetes_namespaces | array | нет | Список пространств имен Kubernetes, в которых могут быть сгенерированы учетные данные. Если установлено значение “*”, разрешены все пространства имен. |
extra_annotations | object | нет | Дополнительные аннотации для применения ко всем сгенерированным объектам Kubernetes. |
extra_labels | object | нет | Дополнительные метки, которые будут применяться ко всем созданным объектам Kubernetes. |
generated_role_rules | string | нет | Правила Role или ClusterRole, которые следует использовать при генерации роли. Принимает объект в формате JSON или YAML. Если установлено, будет сгенерирована вся цепочка объектов Kubernetes. |
kubernetes_role_name | string | нет | Существующая роль или роль кластера (ClusterRole), к которой следует привязать созданную учетную запись сервиса. Если задано, будут созданы объекты привязки токена Kubernetes, учетной записи сервиса и роли. |
kubernetes_role_type | string (default: Role) | нет | Указывает, является ли роль Kubernetes ролью или ClusterRole. |
name_template | string | нет | Шаблон имени, используемый при генерации учетных записей служб, ролей и привязок ролей. Если значение не задано, используется шаблон по умолчанию. |
service_account_name | string | нет | Существующая учетная запись службы, для которой нужно сгенерировать токены. Взаимоисключающее значение со всеми параметрами роли. Если установлено, будет создан токен только учетной записи сервиса Kubernetes. |
token_default_audiences | array | нет | Аудитория по умолчанию для генерируемых токенов учетных записей служб Kubernetes. Если не задано или задано значение “”, будет использоваться кластерная аудитория k8s по умолчанию. |
token_default_ttl | integer | нет | Значение ttl по умолчанию для генерируемых токенов учетных записей служб Kubernetes. Если не задано или установлено в 0, будет использоваться системное значение по умолчанию. |
token_max_ttl | integer | нет | Максимальный ttl для генерируемых токенов учетных записей служб Kubernetes. Если не задано или установлено в 0, будет использоваться системное значение по умолчанию. |
Ответы
200: OK
DELETE /{kubernetes_mount_path}/roles/{name}
ID операции: kubernetes-delete-role
Управляйте ролями, которые можно создать с помощью этого механизма секретов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли |
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{kv_v1_mount_path}/{path}
ID операции: kv-v1-read
Передача секретного хранилища в бэкэнд хранилища, что позволяет читать/записывать произвольные данные в секретное хранилище.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Местонахождение секрета. |
kv_v1_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string | query | нет | Возвращает список, если true. |
Ответы
200: OK
POST /{kv_v1_mount_path}/{path}
ID операции: kv-v1-write
Передача секретного хранилища в бэкэнд хранилища, что позволяет читать/записывать произвольные данные в секретное хранилище.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Местонахождение секрета. |
kv_v1_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
DELETE /{kv_v1_mount_path}/{path}
ID операции: kv-v1-delete
Передача секретного хранилища в бэкэнд хранилища, что позволяет читать/записывать произвольные данные в секретное хранилище.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Местонахождение секрета. |
kv_v1_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /{kv_v2_mount_path}/config
ID операции: kv-v2-read-configuration
Считывает настройки уровня бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kv_v2_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cas_required | boolean | нет | Если значение равно true, бэкэнд будет требовать установки параметра cas для каждой записи |
delete_version_after | integer | нет | Длительность времени до удаления версии. |
max_versions | integer | нет | Количество версий для каждого ключа. |
POST /{kv_v2_mount_path}/config
ID операции: kv-v2-configure
Настраивает параметры уровня бэкенда, которые применяются к каждому ключу в хранилище ключевых значений.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kv_v2_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cas_required | boolean | нет | Если значение равно true, бэкэнд будет требовать установки параметра cas для каждой записи |
delete_version_after | integer | нет | Если задано, длительность периода времени до удаления версии. Отрицательное значение длительности отключает использование delete_version_after для всех ключей. Нулевая длительность очищает текущую настройку. Принимает строку формата Go duration. |
max_versions | integer | нет | Количество версий, которые следует хранить для каждого ключа. По умолчанию 10 |
Ответы
204: No Content
GET /{kv_v2_mount_path}/data/{path}
ID операции: kv-v2-read
Запись, обновление, чтение и удаление данных в хранилище Key-Value.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Местонахождение секрета. |
kv_v2_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
data | object | нет | |
metadata | object | нет |
POST /{kv_v2_mount_path}/data/{path}
ID операции: kv-v2-write
Запись, обновление, чтение и удаление данных в хранилище Key-Value.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Местонахождение секрета. |
kv_v2_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
data | object | нет | Содержимое карты данных будет сохранено и возвращено при чтении. |
options | object | нет | Параметры для записи записи KV. Установите значение “cas”, чтобы использовать операцию проверки и установки. Если значение не установлено, запись будет разрешена. Если установлено значение 0, запись будет разрешена, только если ключ не существует. Если индекс ненулевой, запись будет разрешена только в том случае, если текущая версия ключа совпадает с версией, указанной в параметре cas. |
override_version | integer | нет | Только репликация!!!!!!!! |
version | integer | нет | Если указано при чтении, будет возвращено значение с номером версии |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
created_time | string | нет | |
custom_metadata | object | нет | |
deletion_time | string | нет | |
destroyed | boolean | нет | |
version | integer | нет |
DELETE /{kv_v2_mount_path}/data/{path}
ID операции: kv-v2-delete
Запись, обновление, чтение и удаление данных в хранилище Key-Value.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Местонахождение секрета. |
kv_v2_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /{kv_v2_mount_path}/delete/{path}
ID операции: kv-v2-delete-versions
Отмечает одну или несколько версий как удаленные в хранилище KV.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Местонахождение секрета. |
kv_v2_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
versions | array | нет | Версии, которые будут архивироваться. Данные с версиями не будут удалены, но они больше не будут возвращаться в обычных запросах на получение. |
Ответы
204: No Content
POST /{kv_v2_mount_path}/destroy/{path}
ID операции: kv-v2-destroy-versions
Навсегда удаляет одну или несколько версий в хранилище KV
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Местонахождение секрета. |
kv_v2_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
versions | array | нет | Версии для уничтожения. Их данные будут удалены навсегда. |
Ответы
204: No Content
GET /{kv_v2_mount_path}/metadata/{path}
ID операции: kv-v2-read-metadata
Настраивает параметры для хранилища KV
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Местонахождение секрета. |
kv_v2_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string | query | нет | Возвращает список, если true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cas_required | boolean | нет | |
created_time | string | нет | |
current_version | integer | нет | |
custom_metadata | object | нет | Предоставленные пользователем пары ключ-значение, которые используются для описания произвольной и не зависящей от версии информации о секрете. |
delete_version_after | integer | нет | Длительность времени до удаления версии. |
last_sync_time | string | нет | |
max_versions | integer | нет | Количество версий для хранения |
oldest_version | integer | нет | |
updated_time | string | нет | |
versions | object | нет |
POST /{kv_v2_mount_path}/metadata/{path}
ID операции: kv-v2-write-metadata
Настраивает параметры для хранилища KV
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Местонахождение секрета. |
kv_v2_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cas_required | boolean | нет | Если true, ключ будет требовать установки параметра cas при всех запросах на запись. Если false, то будет использоваться конфигурация бэкенда. |
custom_metadata | object | нет | Предоставленные пользователем пары ключ-значение, которые используются для описания произвольной и не зависящей от версии информации о секрете. |
delete_version_after | integer | нет | Время, в течение которого версия будет удалена. Если не задано, используется сконфигурированное значение delete_version_after бэкенда. Не может быть больше, чем delete_version_after бэкенда. Нулевая длительность очищает текущее значение. Отрицательное значение длительности приведет к ошибке. |
max_versions | integer | нет | Количество версий, которые следует хранить. Если не задано, используется максимальная версия, настроенная бэкендом. |
Ответы
204: No Content
DELETE /{kv_v2_mount_path}/metadata/{path}
ID операции: kv-v2-delete-metadata
Настраивает параметры для хранилища KV
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Местонахождение секрета. |
kv_v2_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /{kv_v2_mount_path}/subkeys/{path}
ID операции: kv-v2-read-subkeys
Прочитайте структуру секретной записи из хранилища Key-Value с удаленными значениями.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Местонахождение секрета. |
kv_v2_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
metadata | object | нет | |
subkeys | object | нет |
POST /{kv_v2_mount_path}/undelete/{path}
ID операции: kv-v2-undelete-versions
Восстанавливает одну или несколько версий из хранилища KV.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Местонахождение секрета. |
kv_v2_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
versions | array | нет | Версии для разархивирования. Версии будут восстановлены, и их данные будут возвращаться при обычных запросах get. |
Ответы
204: No Content
GET /{ldap_mount_path}/config
ID операции: ldap-read-configuration
Настраивает плагин секретного механизма LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ldap_mount_path}/config
ID операции: ldap-configure
Настраивает плагин секретного механизма LDAP.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
anonymous_group_search | boolean (default: False) | нет | Использовать анонимные привязки при поиске групп LDAP (если true, то исходные учетные данные все равно будут использоваться для первоначальной проверки соединения). |
binddn | string | нет | LDAP DN для поиска DN пользователя (необязательно) |
bindpass | string | нет | Пароль LDAP для поиска DN пользователя (необязательно) |
case_sensitive_names | boolean | нет | Если значение равно true, то при сравнении имен пользователей и групп для сопоставления политик будет использоваться чувствительность к регистру. |
certificate | string | нет | Сертификат CA для использования при проверке сертификата сервера LDAP, должен быть в кодировке x509 PEM (необязательно) |
client_tls_cert | string | нет | Сертификат клиента для предоставления серверу LDAP, должен быть закодирован x509 PEM (необязательно) |
client_tls_key | string | нет | Ключ сертификата клиента для предоставления серверу LDAP, должен быть закодирован x509 PEM (необязательно) |
connection_timeout | integer (default: 30s) | нет | Тайм-аут (в секундах) при попытке подключения к серверу LDAP перед попыткой перехода к следующему URL-адресу в конфигурации. |
credential_type | string (default: 1) | нет | Тип учетных данных для управления. Опции включают: ‘password’, ‘phrase’. По умолчанию ‘password’. |
deny_null_bind | boolean (default: True) | нет | ⚠️ Устарело. Отклоняет неаутентифицированный запрос привязки LDAP, если пароль пользователя пуст; значение по умолчанию равно true |
dereference_aliases | string (never, finding, searching, always) (default: never) | нет | Когда псевдонимы должны разыменовываться при операциях поиска. Принимаемые значения: ‘никогда’, ‘находить’, ‘искать’, ‘всегда’. По умолчанию установлено значение ‘никогда’. |
discoverdn | boolean | нет | Используйте анонимную привязку, чтобы узнать привязочный DN пользователя (необязательно). |
enable_samaccountname_login | boolean (default: False) | нет | Если true (по умолчанию), новые пользователи могут регистрироваться самостоятельно. Если false, только предварительно созданные пользователи (через путь user/) могут регистрироваться. |
groupattr | string (default: cn) | нет | Атрибут LDAP, который следует использовать для объектов, возвращаемых |
groupdn | string | нет | База поиска LDAP, используемая для поиска членства в группе (например: ou=Groups,dc=example,dc=org) |
groupfilter | string (default: (|(memberUid={{.Username}})(member={{.UserDN}})(uniqueMember={{.UserDN}}))) | нет | Шаблон Go для запроса принадлежности пользователя к группе (необязательно) Шаблон может обращаться к следующим контекстным переменным: UserDN, Username Пример: (&(objectClass=group)(member:1.2.840.113556.1.4.1941:={{.UserDN}})) По умолчанию: (|(memberUid={{.Username}})(member={.UserDN}})(uniqueMember={.UserDN}})) |
insecure_tls | boolean | нет | Пропустите проверку SSL-сертификата сервера LDAP - ОЧЕНЬ небезопасно (необязательно) |
length | integer | нет | ⚠️ Устарело. Желаемая длина паролей, которые генерирует Vault. |
max_page_size | integer (default: 0) | нет | Если установлено значение больше 0, бэкэнд LDAP будет использовать управление постраничным поиском сервера LDAP для запроса страниц до заданного размера. Это можно использовать, чтобы избежать столкновения с ограничением максимального размера результатов сервера LDAP. В противном случае бэкэнд LDAP не будет использовать управление постраничным поиском. |
max_ttl | integer | нет | Максимальное время жизни пароля. |
password_policy | string | нет | Политика паролей, используемая для генерации паролей |
request_timeout | integer (default: 90s) | нет | Таймаут в секундах для соединения при выполнении запросов к серверу до возврата ошибки. |
schema | string (default: openldap) | нет | Желаемая схема LDAP, используемая при изменении паролей учетных записей пользователей. |
skip_static_role_import_rotation | boolean | нет | Следует ли пропустить ротирование ‘import’. |
starttls | boolean | нет | Выполнять команду StartTLS после установления незашифрованного соединения (необязательно). |
tls_max_version | string (tls10, tls11, tls12, tls13) (default: tls12) | нет | Максимальная версия TLS для использования. Принимаемые значения: ’tls10’, ’tls11’, ’tls12’ или ’tls13’. По умолчанию - ’tls12’ |
tls_min_version | string (tls10, tls11, tls12, tls13) (default: tls12) | нет | Минимальная версия TLS для использования. Принимаемые значения: ’tls10’, ’tls11’, ’tls12’ или ’tls13’. По умолчанию используется значение ’tls12’. |
ttl | integer | нет | Время жизни пароля по умолчанию. |
upndomain | string | нет | Разрешает пользователюПринципалДомена входить в систему с [именем пользователя]@UPNDomain (необязательно). |
url | string (default: ldap://127.0.0.1) | нет | URL-адрес LDAP для подключения (по умолчанию: ldap://127.0.0.1). Можно указать несколько URL-адресов, соединив их запятыми; они будут опробованы в порядке убывания. |
use_pre111_group_cn_behavior | boolean | нет | В Vault 1.1.1 исправление для обработки значений CN групп в разных случаях, к сожалению, внесло регрессию, которая могла привести к тому, что ранее определенные группы не были найдены из-за изменения результирующего имени. Если установлено значение true, будет использоваться поведение, существовавшее до версии 1.1.1, для соответствия CN групп. Это необходимо только в некоторых сценариях обновления для обратной совместимости. Она включается по умолчанию, если конфигурация обновляется, но отключается по умолчанию в новых конфигурациях. |
use_token_groups | boolean (default: False) | нет | Если значение true, то для поиска членов групп используется построенный атрибут Active Directory tokenGroups пользователя. При этом будут найдены все группы безопасности, включая вложенные. |
userattr | string (default: cn) | нет | Атрибут, используемый для пользователей (по умолчанию: cn) |
userdn | string | нет | Домен LDAP, который будет использоваться для пользователей (например: ou=People,dc=example,dc=org) |
userfilter | string (default: ({{.UserAttr}}={{.Username}})) | нет | Шаблон Go для фильтра поиска пользователей LDAP (необязательно) Шаблон может обращаться к следующим контекстным переменным: UserAttr, Username По умолчанию: ({{.UserAttr}}={{.Username}}) |
username_as_alias | boolean (default: False) | нет | Если true, устанавливает имя псевдонима на имя пользователя |
Ответы
200: OK
DELETE /{ldap_mount_path}/config
ID операции: ldap-delete-configuration
Настраивает плагин секретного механизма LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{ldap_mount_path}/creds/{name}
ID операции: ldap-request-dynamic-role-credentials
Запросите учетные данные LDAP для динамической роли. Эти учетные данные создаются в системе LDAP при запросе к этой конечной точке.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя динамической роли. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{ldap_mount_path}/library
ID операции: ldap-library-list
Отображает имена каждого набора учетных записей служб, хранящихся в данный момент.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
POST /{ldap_mount_path}/library/manage/{name}/check-in
ID операции: ldap-library-force-check-in
Проверить учетные записи служб в библиотеке.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название набора. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
service_account_names | array | нет | Имя пользователя/имя входа в систему для учетных записей служб для регистрации. |
Ответы
200: OK
GET /{ldap_mount_path}/library/{name}
ID операции: ldap-library-read
Считывает библиотечный набор.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название набора. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ldap_mount_path}/library/{name}
ID операции: ldap-library-configure
Обновление набора библиотек.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название набора. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disable_check_in_enforcement | boolean (default: False) | нет | Отключите поведение по умолчанию, требующее, чтобы регистрация выполнялась сущностью, которая ее проверила. |
max_ttl | integer (default: 86400) | нет | В секундах - максимальное время продления регистрации. По умолчанию - 24 часа. |
service_account_names | array | нет | Имя пользователя/имя входа для учетных записей служб, с которыми будет связан этот набор. |
ttl | integer (default: 86400) | нет | В секундах - время, в течение которого будет происходить выезд. По умолчанию - 24 часа. |
Ответы
200: OK
DELETE /{ldap_mount_path}/library/{name}
ID операции: ldap-library-delete
Удаление набора библиотек.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название набора. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{ldap_mount_path}/library/{name}/check-in
ID операции: ldap-library-check-in
Проверить учетные записи служб в библиотеке.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название набора. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
service_account_names | array | нет | Имя пользователя/имя входа в систему для учетных записей служб для регистрации. |
Ответы
200: OK
POST /{ldap_mount_path}/library/{name}/check-out
ID операции: ldap-library-check-out
Выпишите сервисный счет из библиотеки.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название набора |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ttl | integer | нет | Продолжительность времени до истечения срока регистрации, в секундах. |
Ответы
200: OK
GET /{ldap_mount_path}/library/{name}/status
ID операции: ldap-library-check-status
Проверка состояния учетных записей служб в наборе библиотек.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название набора. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{ldap_mount_path}/library/{path}
ID операции: ldap-library-list-library-path
Отображает имена каждого набора учетных записей служб, хранящихся в данный момент.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Путь списка наборов |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{ldap_mount_path}/library{path}
ID операции: ldap-library-list-library-path
Отображает имена каждого набора учетных записей служб, хранящихся в данный момент.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Путь списка наборов |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{ldap_mount_path}/role
ID операции: ldap-list-dynamic-roles
Отображает список всех динамических ролей, которыми в настоящее время управляет Vault в LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{ldap_mount_path}/role/{name}
ID операции: ldap-read-dynamic-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя роли (в нижнем регистре) |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ldap_mount_path}/role/{name}
ID операции: ldap-write-dynamic-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя роли (в нижнем регистре) |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
creation_ldif | string | да | Строка LDIF, используемая для создания новых сущностей в системе LDAP. Этот LDIF может быть шаблонным. |
default_ttl | integer | нет | TTL по умолчанию для динамических учетных данных |
deletion_ldif | string | да | Строка LDIF, используемая для удаления сущностей, созданных в системе LDAP. Этот LDIF может быть шаблонным. |
max_ttl | integer | нет | Максимальное время TTL динамического мандата может быть увеличено до |
rollback_ldif | string | нет | LDIF-строка, используемая для отката изменений в случае сбоя при создании учетных данных. Этот LDIF может быть шаблонным. |
username_template | string | нет | Шаблон, используемый для создания имени пользователя |
Ответы
200: OK
DELETE /{ldap_mount_path}/role/{name}
ID операции: ldap-delete-dynamic-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя роли (в нижнем регистре) |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{ldap_mount_path}/role/{path}
ID операции: ldap-list-role-path
Отображает список всех динамических ролей, которыми в настоящее время управляет Vault в LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Путь списка ролей |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{ldap_mount_path}/role{path}
ID операции: ldap-list-role-path
Отображает список всех динамических ролей, которыми в настоящее время управляет Vault в LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Путь списка ролей |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
POST /{ldap_mount_path}/rotate-role/{name}
ID операции: ldap-rotate-static-role
Запрос на изменение учетных данных для статической учетной записи пользователя.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
dn | string | нет | Отличительное имя записи, которой нужно управлять. |
username | string | нет | Имя пользователя/имя входа для записи, с которой будет связана эта роль. |
Ответы
200: OK
POST /{ldap_mount_path}/rotate-root
ID операции: ldap-rotate-root-credentials
Запросите обновление корневых учетных данных, которые Vault использует для учетной записи администратора LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{ldap_mount_path}/static-cred/{name}
ID операции: ldap-request-static-role-credentials
Запросите учетные данные LDAP для определенной статической роли. Эти учетные данные регулярно обновляются.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя статической роли. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{ldap_mount_path}/static-role
ID операции: ldap-list-static-roles
Отображает все статические роли, которыми Vault в настоящее время управляет в системе LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{ldap_mount_path}/static-role/{name}
ID операции: ldap-read-static-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ldap_mount_path}/static-role/{name}
ID операции: ldap-write-static-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
dn | string | нет | Отличительное имя записи, которой нужно управлять. |
rotation_period | integer | нет | Период автоматической смены учетных данных для данной записи. |
skip_import_rotation | boolean | нет | Пропустить начальную ротировку пароля при импорте (не имеет эффекта на обновления) |
username | string | нет | Имя пользователя/имя входа для записи, с которой будет связана эта роль. |
Ответы
200: OK
DELETE /{ldap_mount_path}/static-role/{name}
ID операции: ldap-delete-static-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{ldap_mount_path}/static-role/{path}
ID операции: ldap-list-static-role-path
Отображает все статические роли, которыми Vault в настоящее время управляет в системе LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Путь списка ролей |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{ldap_mount_path}/static-role{path}
ID операции: ldap-list-static-role-path
Отображает все статические роли, которыми Vault в настоящее время управляет в системе LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path | string | path | да | Путь списка ролей |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
POST /{pki_mount_path}/acme/account/{kid}
ID операции: pki-write-acme-account-kid
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kid | string | path | да | Идентификатор ключа, предоставленный центром сертификации |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/authorization/{auth_id}
ID операции: pki-write-acme-authorization-auth_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id | string | path | да | Значение идентификатора авторизации ACME |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/challenge/{auth_id}/{challenge_type}
ID операции: pki-write-acme-challenge-auth_id-challenge_type
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id | string | path | да | Значение идентификатора авторизации ACME |
challenge_type | string | path | да | Тип вызова ACME |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
GET /{pki_mount_path}/acme/directory
ID операции: pki-read-acme-directory
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/acme/new-account
ID операции: pki-write-acme-new-account
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/new-eab
ID операции: pki-generate-eab-key
Создает привязки внешней учетной записи для использования в ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_directory | string | нет | Каталог ACME, которому принадлежит ключ |
created_on | string | нет | Дата и время в формате RFC3339, когда был создан EAB токен |
id | string | нет | Идентификатор ключа EAB |
key | string | нет | Ключ EAB hmac |
key_type | string | нет | Тип ключа EAB |
GET /{pki_mount_path}/acme/new-nonce
ID операции: pki-read-acme-new-nonce
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/acme/new-order
ID операции: pki-write-acme-new-order
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/order/{order_id}
ID операции: pki-write-acme-order-order_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id | string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/order/{order_id}/cert
ID операции: pki-write-acme-order-order_id-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id | string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/order/{order_id}/finalize
ID операции: pki-write-acme-order-order_id-finalize
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id | string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/orders
ID операции: pki-write-acme-orders
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/revoke-cert
ID операции: pki-write-acme-revoke-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
GET /{pki_mount_path}/ca
ID операции: pki-read-ca-der
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/ca/pem
ID операции: pki-read-ca-pem
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/ca_chain
ID операции: pki-read-ca-chain-pem
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/ca_chain
ID операции: pki-read-cert-ca-chain
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/crl
ID операции: pki-read-cert-crl
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/delta-crl
ID операции: pki-read-cert-delta-crl
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/unified-crl
ID операции: pki-read-cert-unified-crl
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/unified-delta-crl
ID операции: pki-read-cert-unified-delta-crl
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/{serial}
ID операции: pki-read-cert
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
serial | string | path | да | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/{serial}/raw
ID операции: pki-read-cert-raw-der
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
serial | string | path | да | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/{serial}/raw/pem
ID операции: pki-read-cert-raw-pem
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
serial | string | path | да | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/certs
ID операции: pki-list-certs
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys | array | нет | Список ключей |
GET /{pki_mount_path}/certs/revocation-queue
ID операции: pki-list-certs-revocation-queue
Отображает все ожидающие межкластерные отзывы, известные локальному кластеру.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{pki_mount_path}/certs/revoked
ID операции: pki-list-revoked-certs
Список всех отозванных серийных номеров в локальном кластере
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys | array | нет | Отображает список Ключей |
GET /{pki_mount_path}/certs/unified-revoked
ID операции: pki-list-unified-revoked-certs
Отображает все отозванные серийные номера в области унифицированного хранилища этого кластера.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_info | string | нет | Информация о ключе |
keys | array | нет | Отображает список Ключей |
GET /{pki_mount_path}/config/acme
ID операции: pki-read-acme-configuration
Конфигурация конечных точек ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/config/acme
ID операции: pki-configure-acme
Конфигурация конечных точек ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_role_ext_key_usage | boolean (default: False) | нет | используется ли поле ExtKeyUsage из роли, по умолчанию false означает, что сертификат будет подписан с помощью ServerAuth. |
allowed_issuers | array (default: [’*’]) | нет | какие эмитенты разрешены для использования с ACME; по умолчанию это будет только основной (по умолчанию) эмитент |
allowed_roles | array (default: [’*’]) | нет | какие роли разрешены для использования с ACME; по умолчанию через ‘*’ это будут все роли, включая sign-verbatim; когда указаны конкретные имена ролей, должна быть включена роль default_directory_policy, чтобы разрешить использование стандартных каталогов acme в /pki/acme/directory и /pki/issuer/:issuer_id/acme/directory. |
default_directory_policy | string (default: sign-verbatim) | нет | политика, которая будет использоваться для запросов ACME без ролевых квалификаций; по умолчанию выдача ACME будет неограниченной, эквивалентной конечной точке sign-verbatim; можно также указать роль для использования в качестве этой политики, как “role:<role_name>”, указанная роль должна быть разрешена в allowed_roles |
dns_resolver | string (default: ) | нет | DNS-резольвер, используемый для разрешения доменов на этом монтировании. По умолчанию используется системный резолвер по умолчанию. Должен иметь формат |
eab_policy | string (default: always-required) | нет | Укажите политику, которая будет использоваться для поведения привязки внешнего аккаунта: “не требуется”, “требуется для нового аккаунта” или “требуется всегда”. |
enabled | boolean (default: False) | нет | включена ли поддержка ACME, по умолчанию false означает, что кластеры по умолчанию не будут получать поддержку ACME |
max_ttl | integer (default: 7776000) | нет | Максимальный срок действия сертификатов, выпущенных через ACME. Ограничивает срок действия любого сертификата, выпускаемого через ACME, на основе роли, точки монтирования или издателя, и по умолчанию равен 2160h (90 дней). |
Ответы
200: OK
GET /{pki_mount_path}/config/auto-tidy
ID операции: pki-read-auto-tidy-configuration
Изменяет текущую конфигурацию для автоматического выполнения tidy.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_safety_buffer | integer | нет | Буфер безопасности после создания, после которого аккаунты, у которых нет заказов, будут отозваны |
enabled | boolean | нет | Указывает, включена ли автоматическая чистка |
interval_duration | integer | нет | Указывает продолжительность между автоматической операцией чистки |
issuer_safety_buffer | integer | нет | Буфер безопасности издателя |
maintain_stored_certificate_counts | boolean | нет | |
pause_duration | string | нет | Время паузы между упорядочиванием сертификатов |
publish_stored_certificate_count_metrics | boolean | нет | |
revocation_queue_safety_buffer | integer | нет | |
safety_buffer | integer | нет | Длительность временного буфера безопасности |
tidy_acme | boolean | нет | Очистка неиспользуемых аккаунтов и заказов Acme |
tidy_cert_store | boolean | нет | Указывает, следует ли организовать хранилище сертификатов |
tidy_cross_cluster_revoked_certs | boolean | нет | |
tidy_expired_issuers | boolean | нет | Указывает, были ли вычищены истекшие издатели |
tidy_move_legacy_ca_bundle | boolean | нет | |
tidy_revocation_queue | boolean | нет | |
tidy_revoked_cert_issuer_associations | boolean | нет | Указывает, следует ли связывать отозванные сертификаты с их соответствующими издателями |
tidy_revoked_certs | boolean | нет | Указывает, следует ли удалять из хранилища все недействительные и истекшие сертификаты |
POST /{pki_mount_path}/config/auto-tidy
ID операции: pki-configure-auto-tidy
Изменяет текущую конфигурацию для автоматического выполнения tidy.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_safety_buffer | integer (default: 2592000) | нет | Количество времени, которое должно пройти после создания, чтобы аккаунт, не имеющий заказов, был помечен как отозванный, а также количество времени после того, как он был помечен как отозванный или деактивированный. |
enabled | boolean | нет | Установите значение true, чтобы включить автоматическое наведение порядка. |
interval_duration | integer (default: 43200) | нет | Интервал, через который следует выполнять операцию автоочистки. Это время между вызовами автоочистки (после завершения одной до начала следующей). Запуск ручной уборки сбросит эту длительность. |
issuer_safety_buffer | integer (default: 31536000) | нет | Количество дополнительного времени, которое должно пройти после истечения срока действия эмитента, прежде чем он будет удален из внутреннего хранилища. По умолчанию 8760 часов (1 год). |
maintain_stored_certificate_counts | boolean (default: False) | нет | Здесь настраивается, подсчитываются ли хранящиеся сертификаты при инициализации бэкенда, а также ведется ли текущий подсчет хранящихся сертификатов во время нормальной работы. |
pause_duration | string (default: 0s) | нет | Количество времени ожидания между сертификатами обработки. Это позволяет операторам изменять профиль выполнения tidy, чтобы он потреблял меньше ресурсов, замедляя время выполнения. Обратите внимание, что весь список сертификатов будет храниться в памяти в течение всей операции tidy, но ресурсы для чтения/обработки/обновления существующих записей будут распределены на больший промежуток времени. По умолчанию это ноль секунд. |
publish_stored_certificate_count_metrics | boolean (default: False) | нет | Это настраивает, будет ли хранимый счетчик сертификатов публиковаться потребителю метрик. Это не влияет на то, поддерживается ли хранимый счетчик сертификатов, и если поддерживается, то он будет доступен на конечной точке tidy-status. |
revocation_queue_safety_buffer | integer (default: 172800) | нет | Количество времени, которое должно пройти с момента инициирования межкластерного запроса на отзыв до момента, когда он будет отправлен на удаление. Слишком низкое значение этого параметра может привести к удалению действительных запросов на отзыв до того, как кластер-владелец успеет их обработать, особенно если кластер находится в автономном режиме. |
safety_buffer | integer (default: 259200) | нет | Количество дополнительного времени, которое должно пройти после истечения срока действия сертификата, чтобы он был удален из внутреннего хранилища и/или списка отзыва. По умолчанию 72 часа. |
tidy_acme | boolean (default: False) | нет | Установите значение true, чтобы включить очистку счетов, заказов и авторизаций ACME. Заказы ACME убираются (удаляются) safety_buffer после истечения срока действия связанного с ними сертификата, или после истечения срока действия заказа и соответствующих авторизаций, если сертификат не был изготовлен. Авторизации удаляются вместе с соответствующим заказом. Когда возраст действующего аккаунта ACME составляет не менее acme_account_safety_buffer, и у него не остается связанных с ним заказов, аккаунт помечается как отозванный. После того как с даты отзыва или деактивации пройдет еще один буфер безопасности acme_account_safety_buffer, отозванный или деактивированный аккаунт ACME удаляется. |
tidy_cert_store | boolean | нет | Установите значение true, чтобы разрешить очистку хранилища сертификатов |
tidy_cross_cluster_revoked_certs | boolean | нет | Установите значение true, чтобы включить очистку межкластерного хранилища отозванных сертификатов. Запускается только на активном основном узле. |
tidy_expired_issuers | boolean | нет | Установите значение true для автоматического удаления истекших эмитентов из буфера issuer_safety_buffer. Никакие ключи не будут удалены в ходе этой операции. |
tidy_move_legacy_ca_bundle | boolean | нет | Установите значение true, чтобы переместить устаревший ca_bundle из /config/ca_bundle в /config/ca_bundle.bak. Это предотвращает переход на версии до Vault 1.11 (поскольку старые PKI-движки не знают о новой схеме хранения нескольких эмитентов), но улучшает производительность при монтировании PKI с печатью. Это произойдет только в том случае, если после первоначального переноса хранилища прошло не менее issuer_safety_buffer времени. Этот резерв сохраняется на случай возникновения проблем в будущих миграциях. При желании операторы могут удалить ее через sys/raw. Резервная копия будет удалена вызовом DELETE /root, но обратите внимание, что при этом удаляются ВСЕ эмитенты в пределах монтирования (и, следовательно, это нежелательно в большинстве сценариев работы). |
tidy_revocation_list | boolean | нет | Утратил силу; синоним для ’tidy_revoked_certs |
tidy_revocation_queue | boolean (default: False) | нет | Установите значение true, чтобы удалить устаревшие записи очереди отзыва, которые не были подтверждены ни одним активным кластером. Запускается только на активном основном узле |
tidy_revoked_cert_issuer_associations | boolean | нет | Установите значение true для проверки ассоциаций эмитентов в записях отзыва. Это помогает повысить производительность создания CRL и ответов OCSP. |
tidy_revoked_certs | boolean | нет | Установите значение true, чтобы прекратить действие всех отозванных и просроченных сертификатов, удалив их как из CRL, так и из хранилища. CRL будет ротирован, если это приведет к удалению каких-либо значений. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_safety_buffer | integer | нет | Буфер безопасности после создания, после которого аккаунты, у которых нет заказов, будут отозваны |
enabled | boolean | нет | Указывает, включена ли автоматическая чистка |
interval_duration | integer | нет | Указывает продолжительность между автоматической операцией чистки |
issuer_safety_buffer | integer | нет | Буфер безопасности издателя |
maintain_stored_certificate_counts | boolean | нет | |
pause_duration | string | нет | Время паузы между упорядочиванием сертификатов |
publish_stored_certificate_count_metrics | boolean | нет | |
revocation_queue_safety_buffer | integer | нет | |
safety_buffer | integer | нет | Длительность временного буфера безопасности |
tidy_acme | boolean | нет | Очистка неиспользуемых аккаунтов и заказов Acme |
tidy_cert_store | boolean | нет | Указывает, следует ли организовать хранилище сертификатов |
tidy_cross_cluster_revoked_certs | boolean | нет | Очистка кросс-кластерного хранилища отозванных сертификатов |
tidy_expired_issuers | boolean | нет | Указывает, были ли вычищены истекшие издатели |
tidy_move_legacy_ca_bundle | boolean | нет | |
tidy_revocation_queue | boolean | нет | |
tidy_revoked_cert_issuer_associations | boolean | нет | Указывает, следует ли связывать отозванные сертификаты с их соответствующими издателями |
tidy_revoked_certs | boolean | нет | Указывает, следует ли удалять из хранилища все недействительные и истекшие сертификаты |
POST /{pki_mount_path}/config/ca
ID операции: pki-configure-ca
Установите сертификат CA и закрытый ключ, используемые для сгенерированных учетных данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pem_bundle | string | нет | Конкатенированный незашифрованный секретный ключ и сертификат в формате PEM. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
existing_issuers | array | нет | Существующие издатели, указанные как часть импортируемого пакета этого запроса |
existing_keys | array | нет | Существующие ключи, указанные как часть импортируемого пакета этого запроса |
imported_issuers | array | нет | Совсем новые издатели, импортированные в рамках этого запроса |
imported_keys | array | нет | Совсем новые ключи, импортированные в рамках этого запроса |
mapping | object | нет | Отображение issuer_id в key_id для всех издателей, включённых в этот запрос |
GET /{pki_mount_path}/config/cluster
ID операции: pki-read-cluster-configuration
Настройте конфигурацию локального кластера, включая адрес этого PR-кластера.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
aia_path | string | нет | Необязательный URI точки распространения AIA этого монтирования; может ссылаться на внешний не Vault-ответчик. Предназначен для разрешения AIA URL и предоставления параметра шаблона {{cluster_aia_path}} и не будет использоваться для других целей. В отличие от пути выше, это может быть небезопасный транзитный механизм (например, HTTP без TLS). Например: http://cdn.example.com/pr1/pki |
path | string | нет | Канонический URI этого монтирования на внешнем адресе кластера репликации производительности. Он используется для разрешения URL-адресов AIA и предоставления параметра шаблона {{cluster_path}}, но в будущем может быть использован для других целей. Этот адрес должен указывать только на данную конкретную реплику PR и никогда не должен указывать на другой кластер PR. Он может указывать на любой узел в реплике PR, включая резервные узлы, и не всегда должен указывать на активный узел. Например: https://pr1.vault.example.com:8200/v1/pki |
POST /{pki_mount_path}/config/cluster
ID операции: pki-configure-cluster
Настройте конфигурацию локального кластера, включая адрес этого PR-кластера.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
aia_path | string | нет | Необязательный URI точки распространения AIA этого монтирования; может ссылаться на внешний не Vault-ответчик. Предназначен для разрешения AIA URL и предоставления параметра шаблона {{cluster_aia_path}} и не будет использоваться для других целей. В отличие от пути выше, это может быть небезопасный транзитный механизм (например, HTTP без TLS). Например: http://cdn.example.com/pr1/pki |
path | string | нет | Канонический URI этого монтирования на внешнем адресе кластера репликации производительности. Он используется для разрешения URL-адресов AIA и предоставления параметра шаблона {{cluster_path}}, но в будущем может быть использован для других целей. Этот адрес должен указывать только на данную конкретную реплику PR и никогда не должен указывать на другой кластер PR. Он может указывать на любой узел в реплике PR, включая резервные узлы, и не всегда должен указывать на активный узел. Например: https://pr1.vault.example.com:8200/v1/pki |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
aia_path | string | нет | Необязательный URI точки распространения AIA этого монтирования; может ссылаться на внешний не Vault-ответчик. Предназначен для разрешения AIA URL и предоставления параметра шаблона {{cluster_aia_path}} и не будет использоваться для других целей. В отличие от пути выше, это может быть небезопасный транзитный механизм (например, HTTP без TLS). Например: http://cdn.example.com/pr1/pki |
path | string | нет | Канонический URI этого монтирования на внешнем адресе кластера репликации производительности. Он используется для разрешения URL-адресов AIA и предоставления параметра шаблона {{cluster_path}}, но в будущем может быть использован для других целей. Этот адрес должен указывать только на данную конкретную реплику PR и никогда не должен указывать на другой кластер PR. Он может указывать на любой узел в реплике PR, включая резервные узлы, и не всегда должен указывать на активный узел. Например: https://pr1.vault.example.com:8200/v1/pki |
GET /{pki_mount_path}/config/crl
ID операции: pki-read-crl-configuration
Настраивает срок истечения CRL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
auto_rebuild | boolean | нет | Если установлено значение true, включается автоматическое восстановление CRL |
auto_rebuild_grace_period | string | нет | Время до истечения срока действия CRL для его автоматического восстановления, если оно включено. Должно быть меньше, чем срок действия CRL. По умолчанию 12 часов. |
cross_cluster_revocation | boolean | нет | Включать ли глобальную, кросс-кластерную очередь отзыва. Должно использоваться с auto_rebuild=true. |
delta_rebuild_interval | string | нет | Время между дельта-перестройками CRL, если произошел новый отзыв. Должно быть меньше, чем срок действия CRL. По умолчанию 15 м. |
disable | boolean | нет | Если установлено значение true, генерация CRL полностью отключается. |
enable_delta | boolean | нет | Включать ли дельта CRL между перестройками авторитетных CRL |
expiry | string | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа |
ocsp_disable | boolean | нет | Если установлено значение true, будут возвращаться неавторизованные ответы ocsp. |
ocsp_expiry | string | нет | Время, в течение которого ответ OCSP будет действителен (контролирует поле NextUpdate); по умолчанию - 12 часов |
unified_crl | boolean | нет | Если установлено значение true, включается глобальная репликация записей отзыва, а также включается унифицированная версия OCSP и CRL, если соответствующие функции включены. disable для CRL и ocsp_disable для OCSP. |
unified_crl_on_existing_paths | boolean | нет | Если установлено значение true, существующие пути CRL и OCSP будут возвращать унифицированный CRL вместо ответа, основанного на локальных данных кластера. |
POST /{pki_mount_path}/config/crl
ID операции: pki-configure-crl
Настраивает срок истечения CRL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
auto_rebuild | boolean | нет | Если установлено значение true, включается автоматическое восстановление CRL |
auto_rebuild_grace_period | string (default: 12h) | нет | Время до истечения срока действия CRL для его автоматического восстановления, если оно включено. Должно быть меньше, чем срок действия CRL. По умолчанию 12 часов. |
cross_cluster_revocation | boolean | нет | Включать ли глобальную, кросс-кластерную очередь отзыва. Должно использоваться с auto_rebuild=true. |
delta_rebuild_interval | string (default: 15m) | нет | Время между дельта-перестройками CRL, если произошел новый отзыв. Должно быть меньше, чем срок действия CRL. По умолчанию 15 м. |
disable | boolean | нет | Если установлено значение true, генерация CRL полностью отключается. |
enable_delta | boolean | нет | Включать ли дельта CRL между перестройками авторитетных CRL |
expiry | string (default: 72h) | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа |
ocsp_disable | boolean | нет | Если установлено значение true, будут возвращаться неавторизованные ответы ocsp. |
ocsp_expiry | string (default: 1h) | нет | Время, в течение которого ответ OCSP будет действителен (контролирует поле NextUpdate); по умолчанию - 12 часов |
unified_crl | boolean (default: false) | нет | Если установлено значение true, включается глобальная репликация записей отзыва, а также включается унифицированная версия OCSP и CRL, если соответствующие функции включены. disable для CRL и ocsp_disable для OCSP. |
unified_crl_on_existing_paths | boolean (default: false) | нет | Если установлено значение true, существующие пути CRL и OCSP будут возвращать унифицированный CRL вместо ответа, основанного на локальных данных кластера. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
auto_rebuild | boolean | нет | Если установлено значение true, включается автоматическое восстановление CRL |
auto_rebuild_grace_period | string (default: 12h) | нет | Время до истечения срока действия CRL для его автоматического восстановления, если оно включено. Должно быть меньше, чем срок действия CRL. По умолчанию 12 часов. |
cross_cluster_revocation | boolean | нет | Включать ли глобальную, кросс-кластерную очередь отзыва. Должно использоваться с auto_rebuild=true. |
delta_rebuild_interval | string (default: 15m) | нет | Время между дельта-перестройками CRL, если произошел новый отзыв. Должно быть меньше, чем срок действия CRL. По умолчанию 15 м. |
disable | boolean | нет | Если установлено значение true, генерация CRL полностью отключается. |
enable_delta | boolean | нет | Включать ли дельта CRL между перестройками авторитетных CRL |
expiry | string (default: 72h) | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа |
ocsp_disable | boolean | нет | Если установлено значение true, будут возвращаться неавторизованные ответы ocsp. |
ocsp_expiry | string (default: 1h) | нет | Время, в течение которого ответ OCSP будет действителен (контролирует поле NextUpdate); по умолчанию - 12 часов |
unified_crl | boolean | нет | Если установлено значение true, включается глобальная репликация записей отзыва, а также включается унифицированная версия OCSP и CRL, если соответствующие функции включены. disable для CRL и ocsp_disable для OCSP. |
unified_crl_on_existing_paths | boolean | нет | Если установлено значение true, существующие пути CRL и OCSP будут возвращать унифицированный CRL вместо ответа, основанного на локальных данных кластера. |
GET /{pki_mount_path}/config/issuers
ID операции: pki-read-issuers-configuration
Считывание и установка сертификата эмитента по умолчанию для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default | string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию. |
default_follows_latest_issuer | boolean | нет | Должен ли эмитент по умолчанию автоматически следовать последнему сгенерированному или импортированному эмитенту. По умолчанию имеет значение false. |
POST /{pki_mount_path}/config/issuers
ID операции: pki-configure-issuers
Считывание и установка сертификата эмитента по умолчанию для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default | string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию. |
default_follows_latest_issuer | boolean (default: False) | нет | Должен ли эмитент по умолчанию автоматически следовать последнему сгенерированному или импортированному эмитенту. По умолчанию имеет значение false. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default | string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию. |
default_follows_latest_issuer | boolean | нет | Должен ли эмитент по умолчанию автоматически следовать последнему сгенерированному или импортированному эмитенту. По умолчанию имеет значение false. |
GET /{pki_mount_path}/config/keys
ID операции: pki-read-keys-configuration
Считывание и установка ключа по умолчанию, используемого для подписи
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default | string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию. |
POST /{pki_mount_path}/config/keys
ID операции: pki-configure-keys
Считывание и установка ключа по умолчанию, используемого для подписи
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default | string | нет | Ссылка (имя или идентификатор) на ключ по умолчанию. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default | string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию. |
GET /{pki_mount_path}/config/urls
ID операции: pki-read-urls-configuration
Установите URL-адреса для выдачи CA, точек распространения CRL и серверов OCSP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_distribution_points | array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута точек распространения CRL. См. также RFC 5280 Раздел 4.2.1.13. |
enable_templating | boolean | нет | Включить ли шаблонирование вышеуказанных полей AIA. Когда включено шаблонирование, специальные значения ‘{{issuer_id}}’ и ‘{{cluster_path}}’ доступны, но адреса не проверяются на допустимость URI до момента выдачи. Это требует установки пути /config/cluster на всех вторичных кластерах PR. |
issuing_certificates | array | нет | Разделенный запятыми список URL-адресов, которые будут использоваться для атрибута выдавшего сертификат. См. также RFC 5280 Раздел 4.2.2.1. |
ocsp_servers | array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута OCSP-серверов. См. также RFC 5280 Раздел 4.2.2.1. |
POST /{pki_mount_path}/config/urls
ID операции: pki-configure-urls
Установите URL-адреса для выдачи CA, точек распространения CRL и серверов OCSP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_distribution_points | array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута точек распространения CRL. См. также RFC 5280 Раздел 4.2.1.13. |
enable_templating | boolean (default: False) | нет | Включать или не включать шаблонизацию вышеуказанных полей AIA. Когда шаблонизация включена, специальные значения ‘{{issuer_id}}, ‘{{cluster_path}}’ и ‘{{cluster_aia_path}}’ доступны, но адреса не проверяются на валидность URI до момента выдачи. Использование ‘{{cluster_path}}’ требует, чтобы член /config/cluster ‘path’ был установлен на всех кластерах PR Secondary, а использование ‘{{cluster_aia_path}}’ требует, чтобы член /config/cluster ‘aia_path’ был установлен на всех кластерах PR Secondary. |
issuing_certificates | array | нет | Разделенный запятыми список URL-адресов, которые будут использоваться для атрибута выдавшего сертификат. См. также RFC 5280 Раздел 4.2.2.1. |
ocsp_servers | array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута OCSP-серверов. См. также RFC 5280 Раздел 4.2.2.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_distribution_points | array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута точек распространения CRL. См. также RFC 5280 Раздел 4.2.1.13. |
enable_templating | boolean (default: False) | нет | Включить ли шаблонирование упомянутых выше полей AIA. Когда шаблонирование включено, доступны специальные значения ‘{{issuer_id}}’ и ‘{{cluster_path}}’, но адреса не проверяются на допустимость URI до момента выдачи. Для этого необходимо задать путь /config/cluster на всех вторичных кластерах PR. |
issuing_certificates | array | нет | Разделенный запятыми список URL-адресов, которые будут использоваться для атрибута выдавшего сертификат. См. также RFC 5280 Раздел 4.2.2.1. |
ocsp_servers | array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута OCSP-серверов. См. также RFC 5280 Раздел 4.2.2.1. |
GET /{pki_mount_path}/crl
ID операции: pki-read-crl-der
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/crl/delta
ID операции: pki-read-crl-delta
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/crl/delta/pem
ID операции: pki-read-crl-delta-pem
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/crl/pem
ID операции: pki-read-crl-pem
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | string | нет | Выдающая Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор издателя |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/crl/rotate
ID операции: pki-rotate-crl
Принудительное восстановление CRL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
success | boolean | нет | Была ли успешной ротация |
GET /{pki_mount_path}/crl/rotate-delta
ID операции: pki-rotate-delta-crl
Принудительное восстановление дельта CRL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
success | boolean | нет | Была ли успешной ротация |
GET /{pki_mount_path}/eab
ID операции: pki-list-eab-keys
список привязок внешних аккаунтов для использования в ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_info | object | нет | Подробности EAB, обозначенные по идентификатору ключа eab |
keys | array | нет | Список неиспользованных EAB ключей |
DELETE /{pki_mount_path}/eab/{key_id}
ID операции: pki-delete-eab-key
Удаляет внешний идентификатор привязки учетной записи до его использования в учетной записи ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
key_id | string | path | да | Ключевой идентификатор ВЦВ |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{pki_mount_path}/intermediate/cross-sign
ID операции: pki-cross-sign-intermediate
Создает новую CSR и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
add_basic_constraints | boolean | нет | Добавлять ли расширение Basic Constraints с CA: true. Необходимо только в качестве обходного пути в некоторых сценариях совместимости со службами сертификации Active Directory. |
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country | array | нет | Если установлено, то для параметра Страна будет задано это значение. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
exported | string (internal, exported, kms) | нет | Должно быть “internal”, “exported” или “kms”. Если установлено значение “exported”, будет возвращен сгенерированный закрытый ключ. Это ваш *единственный* шанс получить закрытый ключ! |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
key_bits | integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name | string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением ‘default’. |
key_ref | string (default: default) | нет | Ссылка на существующий ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу. |
key_type | string (rsa, ec, ed25519, gost3410-256-paramset-a, gost3410-256-paramset-b, gost3410-256-paramset-c, gost3410-256-paramset-d, gost3410-512-paramset-a, gost3410-512-paramset-b, gost3410-512-paramset-c) (default: rsa) | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” являются единственными допустимыми значениями. |
locality | array | нет | Если установлено, то значение Locality будет установлено на это значение. |
managed_key_id | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration | integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization | array | нет | Если установлено, для O (Организация) будет использовано это значение. |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
ou | array | нет | Если установлено, для OU (OrganizationalUnit) будет использовано это значение. |
postal_code | array | нет | Если установлено, то для почтового индекса будет использовано это значение. |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
province | array | нет | Если установлено, для Province будет использовано это значение. |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits | integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address | array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
csr | string | нет | Запрос на подпись сертификата. |
key_id | string | нет | Идентификатор ключа. |
private_key | string | нет | Сгенерированный закрытый ключ. |
private_key_type | string | нет | Указывает формат, используемый для организации закрытого ключа. |
POST /{pki_mount_path}/intermediate/generate/{exported}
ID операции: pki-generate-intermediate
Создает новую CSR и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
exported | string (internal, exported, kms) | path | да | Должно быть “internal”, “exported” или “kms”. Если установлено значение “exported”, будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ! |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
add_basic_constraints | boolean | нет | Добавлять ли расширение Basic Constraints с CA: true. Необходимо только в качестве обходного пути в некоторых сценариях совместимости со службами сертификации Active Directory. |
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country | array | нет | Если установлено, то для параметра Страна будет задано это значение. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
key_bits | integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name | string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением ‘default’. |
key_ref | string (default: default) | нет | Ссылка на существующий ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу. |
key_type | string (rsa, ec, ed25519, gost3410-256-paramset-a, gost3410-256-paramset-b, gost3410-256-paramset-c, gost3410-256-paramset-d, gost3410-512-paramset-a, gost3410-512-paramset-b, gost3410-512-paramset-c) (default: rsa) | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” являются единственными допустимыми значениями. |
locality | array | нет | Если установлено, то значение Locality будет установлено на это значение. |
managed_key_id | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration | integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization | array | нет | Если установлено, для O (Организация) будет использовано это значение. |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
ou | array | нет | Если установлено, для OU (OrganizationalUnit) будет использовано это значение. |
postal_code | array | нет | Если установлено, то для почтового индекса будет использовано это значение. |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
province | array | нет | Если установлено, для Province будет использовано это значение. |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits | integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address | array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
csr | string | нет | Запрос на подпись сертификата. |
key_id | string | нет | Идентификатор ключа. |
private_key | string | нет | Сгенерированный закрытый ключ. |
private_key_type | string | нет | Указывает формат, используемый для организации закрытого ключа. |
POST /{pki_mount_path}/intermediate/set-signed
ID операции: pki-set-signed-intermediate
Предоставляет подписанный промежуточный сертификат CA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate | string | нет | Сертификат в формате PEM. Это должен быть сертификат ЦС с открытым ключом, совпадающим с ранее сгенерированным ключом с конечной точки генерации. Дополнительные родительские ЦС могут быть добавлены в пакет по желанию. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
existing_issuers | array | нет | Существующие издатели, указанные как часть импортируемого пакета этого запроса |
existing_keys | array | нет | Существующие ключи, указанные как часть импортируемого пакета этого запроса |
imported_issuers | array | нет | Совсем новые издатели, импортированные в рамках этого запроса |
imported_keys | array | нет | Совсем новые ключи, импортированные в рамках этого запроса |
mapping | object | нет | Отображение issuer_id в key_id для всех издателей, включённых в этот запрос |
POST /{pki_mount_path}/issue/{role}
ID операции: pki-issue-with-role
Запросите сертификат, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_ref | string (default: default) | нет | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
remove_roots_from_chain | boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
user_ids | array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка Сертификатов |
certificate | string | нет | Сертификат |
expiration | integer | нет | Время истечения |
issuing_ca | string | нет | Выдающий Центр Сертификации |
private_key | string | нет | Закрытый ключ |
private_key_type | string | нет | Тип закрытого ключа |
serial_number | string | нет | Серийный номер |
GET /{pki_mount_path}/issuer/{issuer_ref}
ID операции: pki-read-issuer
Получает сертификат одного эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка CA |
certificate | string | нет | Сертификат |
crl_distribution_points | array | нет | Точки распространения CRL |
enable_aia_url_templating | boolean | нет | Включено ли шаблонирование для полей AIA |
issuer_id | string | нет | Идентификатор Издателя |
issuer_name | string | нет | Имя Издателя |
issuing_certificates | array | нет | Выдача Сертификатов |
key_id | string | нет | Идентификатор Ключа |
leaf_not_after_behavior | string | нет | Поведение Leaf Not After |
manual_chain | array | нет | Ручная цепочка |
ocsp_servers | array | нет | OCSP-серверы |
revocation_signature_algorithm | string | нет | Алгоритм подписи отзыва |
revocation_time | integer | нет | |
revocation_time_rfc3339 | string | нет | |
revoked | boolean | нет | Отменен |
usage | string | нет | Использование |
POST /{pki_mount_path}/issuer/{issuer_ref}
ID операции: pki-write-issuer
Получает сертификат одного эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_distribution_points | array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута точек распространения CRL. См. также RFC 5280 Раздел 4.2.1.13. |
enable_aia_url_templating | boolean (default: False) | нет | Включать или не включать шаблонизацию вышеуказанных полей AIA. Когда шаблонизация включена, специальные значения ‘{{issuer_id}}, ‘{{cluster_path}}’, ‘{{cluster_aia_path}}’ доступны, но адреса не проверяются на валидность URL до момента выдачи. Использование ‘{{cluster_path}}’ требует, чтобы член /config/cluster ‘path’ был установлен на всех кластерах PR Secondary, а использование ‘{{cluster_aia_path}}’ требует, чтобы член /config/cluster ‘aia_path’ был установлен на всех кластерах PR Secondary. |
issuer_name | string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением ‘default’. |
issuing_certificates | array | нет | Разделенный запятыми список URL-адресов, которые будут использоваться для атрибута выдавшего сертификат. См. также RFC 5280 Раздел 4.2.2.1. |
leaf_not_after_behavior | string (default: err) | нет | Поведение полей NotAfter листа: “err” - ошибка, если вычисленная дата NotAfter превышает дату данного эмитента; “truncate” - молчаливое усечение до даты данного эмитента; или “permit” - разрешение на успешную выдачу (с NotAfter, превышающей дату данного эмитента). Обратите внимание, что не все значения приводят к сертификатам, которые могут быть проверены в течение всего срока действия. Рекомендуется использовать “truncate” для промежуточных ЦС и “permit” только для корневых ЦС. |
manual_chain | array | нет | Цепочка ссылок на эмитента, используемая для построения вычисляемого поля CAChain этого эмитента, если она не пуста. |
ocsp_servers | array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута OCSP-серверов. См. также RFC 5280 Раздел 4.2.2.1. |
revocation_signature_algorithm | string (default: ) | нет | Имя x509.SignatureAlgorithm, которое будет использоваться для подписания CRL. Этот параметр позволяет различать ключи PKCS#1v1.5 и PSS и выбирать хэш-алгоритм подписи. По умолчанию (пустая строка) Go должен сам выбрать алгоритм подписи. Это может привести к ошибке, если базовый ключ не поддерживает запрашиваемый алгоритм подписи, который может быть неизвестен на момент модификации (например, в случае ключей RSA с управлением PKCS#11). |
usage | array (default: [‘read-only’, ‘issuing-certificates’, ‘crl-signing’, ‘ocsp-signing’]) | нет | Разделенный запятыми список (или фрагмент строки) применений для данного эмитента; допустимые значения: “только для чтения”, “выдача сертификатов”, “crl-подписание” и “ocsp-подписание”. Можно указать несколько значений. Значение “только для чтения” является неявным и всегда устанавливается. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка CA |
certificate | string | нет | Сертификат |
crl_distribution_points | array | нет | Точки распространения CRL |
enable_aia_url_templating | boolean | нет | Включено ли шаблонирование для полей AIA |
issuer_id | string | нет | Идентификатор Издателя |
issuer_name | string | нет | Имя Издателя |
issuing_certificates | array | нет | Выдача Сертификатов |
key_id | string | нет | Идентификатор Ключа |
leaf_not_after_behavior | string | нет | Поведение Leaf Not After |
manual_chain | array | нет | Ручная цепочка |
ocsp_servers | array | нет | OCSP-серверы |
revocation_signature_algorithm | string | нет | Алгоритм подписи отзыва |
revocation_time | integer | нет | |
revocation_time_rfc3339 | string | нет | |
revoked | boolean | нет | Отменен |
usage | string | нет | Использование |
DELETE /{pki_mount_path}/issuer/{issuer_ref}
ID операции: pki-delete-issuer
Получает сертификат одного эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/account/{kid}
ID операции: pki-write-issuer-issuer_ref-acme-account-kid
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
kid | string | path | да | Идентификатор ключа, предоставленный центром сертификации |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/authorization/{auth_id}
ID операции: pki-write-issuer-issuer_ref-acme-authorization-auth_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id | string | path | да | Значение идентификатора авторизации ACME |
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/challenge/{auth_id}/{challenge_type}
ID операции: pki-write-issuer-issuer_ref-acme-challenge-auth_id-challenge_type
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id | string | path | да | Значение идентификатора авторизации ACME |
challenge_type | string | path | да | Тип вызова ACME |
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
GET /{pki_mount_path}/issuer/{issuer_ref}/acme/directory
ID операции: pki-read-issuer-issuer_ref-acme-directory
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/new-account
ID операции: pki-write-issuer-issuer_ref-acme-new-account
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/new-eab
ID операции: pki-generate-eab-key-for-issuer
Создает привязки внешней учетной записи для использования в ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_directory | string | нет | Каталог ACME, которому принадлежит ключ |
created_on | string | нет | Дата и время в формате RFC3339, когда был создан EAB токен |
id | string | нет | Идентификатор ключа EAB |
key | string | нет | Ключ EAB hmac |
key_type | string | нет | Тип ключа EAB |
GET /{pki_mount_path}/issuer/{issuer_ref}/acme/new-nonce
ID операции: pki-read-issuer-issuer_ref-acme-new-nonce
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/new-order
ID операции: pki-write-issuer-issuer_ref-acme-new-order
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/order/{order_id}
ID операции: pki-write-issuer-issuer_ref-acme-order-order_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id | string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/order/{order_id}/cert
ID операции: pki-write-issuer-issuer_ref-acme-order-order_id-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id | string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/order/{order_id}/finalize
ID операции: pki-write-issuer-issuer_ref-acme-order-order_id-finalize
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id | string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/orders
ID операции: pki-write-issuer-issuer_ref-acme-orders
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/revoke-cert
ID операции: pki-write-issuer-issuer_ref-acme-revoke-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
GET /{pki_mount_path}/issuer/{issuer_ref}/crl
ID операции: pki-issuer-read-crl
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl | string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/delta
ID операции: pki-issuer-read-crl-delta
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl | string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/delta/der
ID операции: pki-issuer-read-crl-delta-der
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl | string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/delta/pem
ID операции: pki-issuer-read-crl-delta-pem
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl | string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/der
ID операции: pki-issuer-read-crl-der
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl | string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/pem
ID операции: pki-issuer-read-crl-pem
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl | string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/der
ID операции: pki-read-issuer-der
Получает сертификат одного эмитента.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор Издателя |
issuer_name | string | нет | Имя Издателя |
304: Не изменено
POST /{pki_mount_path}/issuer/{issuer_ref}/issue/{role}
ID операции: pki-issuer-issue-with-role
Запросите сертификат, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
role | string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
remove_roots_from_chain | boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
user_ids | array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка Сертификатов |
certificate | string | нет | Сертификат |
expiration | integer | нет | Время истечения |
issuing_ca | string | нет | Выдающий Центр Сертификации |
private_key | string | нет | Закрытый ключ |
private_key_type | string | нет | Тип закрытого ключа |
serial_number | string | нет | Серийный номер |
GET /{pki_mount_path}/issuer/{issuer_ref}/json
ID операции: pki-read-issuer-json
Получает сертификат одного эмитента.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор Издателя |
issuer_name | string | нет | Имя Издателя |
304: Не изменено
GET /{pki_mount_path}/issuer/{issuer_ref}/pem
ID операции: pki-read-issuer-pem
Получает сертификат одного эмитента.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка CA |
certificate | string | нет | Сертификат |
issuer_id | string | нет | Идентификатор Издателя |
issuer_name | string | нет | Имя Издателя |
304: Не изменено
POST /{pki_mount_path}/issuer/{issuer_ref}/resign-crls
ID операции: pki-issuer-resign-crls
Объедините и подпишите с предоставленным издателем разные CRL
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_number | integer | нет | Порядковый номер, который будет записан в расширении CRL Number. |
crls | array | нет | Список СОС в кодировке PEM для объединения, первоначально подписанных запрашиваемым эмитентом. |
delta_crl_base_number | integer (default: -1) | нет | Использование нуля или большего значения определяет базовый номер ревизии CRL для кодирования в расширении индикатора Delta CRL, иначе расширение не будет добавлено. |
format | string (default: pem) | нет | Формат комбинированного CRL, может быть “pem” или “der”. Если “der”, значение будет закодировано в base64. По умолчанию - “pem”. |
next_update | string (default: 72h) | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl | string | нет | Список отзыва |
POST /{pki_mount_path}/issuer/{issuer_ref}/revoke
ID операции: pki-revoke-issuer
Отзывает указанный сертификат эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка Центра Сертификации |
certificate | string | нет | Сертификат |
crl_distribution_points | array | нет | Указывает значения URL для поля Точки распространения CRL |
issuer_id | string | нет | Идентификатор издателя |
issuer_name | string | нет | Имя издателя |
issuing_certificates | array | нет | Указывает значения URL для поля Выдающий сертификат |
key_id | string | нет | Идентификатор ключа |
leaf_not_after_behavior | string | нет | |
manual_chain | array | нет | Ручная цепочка |
ocsp_servers | array | нет | Указывает значения URL для поля Серверы OCSP |
revocation_signature_algorithm | string | нет | Какой алгоритм подписи использовать при создании CRL |
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC |
revoked | boolean | нет | Был ли издатель отозван |
usage | string | нет | Допустимое использование |
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/account/{kid}
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-account-kid
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
kid | string | path | да | Идентификатор ключа, предоставленный центром сертификации |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/authorization/{auth_id}
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-authorization-auth_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id | string | path | да | Значение идентификатора авторизации ACME |
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/challenge/{auth_id}/{challenge_type}
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-challenge-auth_id-challenge_type
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id | string | path | да | Значение идентификатора авторизации ACME |
challenge_type | string | path | да | Тип вызова ACME |
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
GET /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/directory
ID операции: pki-read-issuer-issuer_ref-roles-role-acme-directory
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/new-account
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-new-account
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/new-eab
ID операции: pki-generate-eab-key-for-issuer-and-role
Создает привязки внешней учетной записи для использования в ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_directory | string | нет | Каталог ACME, которому принадлежит ключ |
created_on | string | нет | Дата и время в формате RFC3339, когда был создан EAB токен |
id | string | нет | Идентификатор ключа EAB |
key | string | нет | Ключ EAB hmac |
key_type | string | нет | Тип ключа EAB |
GET /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/new-nonce
ID операции: pki-read-issuer-issuer_ref-roles-role-acme-new-nonce
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/new-order
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-new-order
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/order/{order_id}
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-order-order_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id | string | path | да | Идентификатор заказа ACME для получения |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/order/{order_id}/cert
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-order-order_id-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id | string | path | да | Идентификатор заказа ACME для получения |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/order/{order_id}/finalize
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-order-order_id-finalize
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id | string | path | да | Идентификатор заказа ACME для получения |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/orders
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-orders
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/revoke-cert
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-revoke-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-intermediate
ID операции: pki-issuer-sign-intermediate
Выпустить промежуточный сертификат CA на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country | array | нет | Если установлено, то для параметра Страна будет задано это значение. |
csr | string (default: ) | нет | Подписываемый CSR в формате PEM. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name | string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением ‘default’. |
locality | array | нет | Если установлено, то значение Locality будет установлено на это значение. |
max_path_length | integer (default: -1) | нет | Максимально допустимая длина пути |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration | integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization | array | нет | Если установлено, для O (Организация) будет использовано это значение. |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
ou | array | нет | Если установлено, для OU (OrganizationalUnit) будет использовано это значение. |
permitted_dns_domains | array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты. Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10). |
postal_code | array | нет | Если установлено, то для почтового индекса будет использовано это значение. |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
province | array | нет | Если установлено, для Province будет использовано это значение. |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits | integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
skid | string (default: ) | нет | Значение для поля Subject Key Identifier (RFC 5280 Раздел 4.2.1.2). Это значение должно использоваться ТОЛЬКО при перекрестной подписи для имитации значения SKID существующего сертификата; это необходимо для того, чтобы некоторые реализации TLS (например, OpenSSL), использующие совпадения SKID/AKID при построении цепочек, могли ограничивать возможные допустимые цепочки. Указывается в виде строки в шестнадцатеричном формате. По умолчанию пусто, что позволяет Vault автоматически вычислять SKID в соответствии с первым методом в приведенном выше разделе RFC. |
street_address | array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_csr_values | boolean (default: False) | нет | Если верно, то: 1) Информация о субъекте, включая имена и альтернативные имена, будет сохранена из CSR, а не использована в других параметрах этого пути; 2) Любые ключевые использования, запрошенные в CSR, будут добавлены к базовому набору ключевых использований, используемых для сертификатов CA, подписанных этим путем; например, флаг неотрицания; 3) Расширения, запрошенные в CSR, будут скопированы в выпущенный сертификат. |
use_pss | boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка CA |
certificate | string | нет | Сертификат |
expiration | integer | нет | Время истечения |
issuing_ca | string | нет | Выдающий CA |
serial_number | string | нет | Серийный номер |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-revocation-list
ID операции: pki-issuer-sign-revocation-list
Сгенерируйте и подпишите CRL на основе предоставленных параметров.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_number | integer | нет | Порядковый номер, который будет записан в расширении CRL Number. |
delta_crl_base_number | integer (default: -1) | нет | Использование нуля или большего значения определяет базовый номер ревизии CRL для кодирования в расширении индикатора Delta CRL, иначе расширение не будет добавлено. |
extensions | array | нет | Список карт, содержащих расширения с ключами id (строка), critical (bool), value (строка). |
format | string (default: pem) | нет | Формат комбинированного CRL, может быть “pem” или “der”. Если “der”, значение будет закодировано в base64. По умолчанию - “pem”. |
next_update | string (default: 72h) | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа. |
revoked_certs | array | нет | Список карт, содержащих ключи serial_number (строка), revocation_time (строка) и extensions (карта с ключами id (строка), critical (bool), value (строка)). |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl | string | нет | Список отзыва |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-self-issued
ID операции: pki-issuer-sign-self-issued
Повторный выпуск самоподписанного сертификата на основе предоставленного сертификата.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate | string | нет | Подписываемый самовыпущенный сертификат в формате PEM. |
require_matching_certificate_algorithms | boolean (default: False) | нет | Если true, то требуется, чтобы алгоритм открытого ключа подписывающего лица совпадал с алгоритмом собственного сертификата. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate | string | нет | Сертификат |
issuing_ca | string | нет | Выдающий CA |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-verbatim
ID операции: pki-issuer-sign-verbatim
Выпустить сертификат напрямую на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
csr | string (default: ) | нет | Подписываемый CSR в формате PEM. Значения будут взяты дословно из CSR, за исключением основных ограничений. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
ext_key_usage | array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени “ExtKeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
ext_key_usage_oids | array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми. |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
key_usage | array (default: [‘DigitalSignature’, ‘KeyAgreement’, ‘KeyEncipherment’]) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени “KeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
remove_roots_from_chain | boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
role | string | нет | Желаемая роль с конфигурацией для этого запроса |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits | integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_pss | boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
user_ids | array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка Сертификатов |
certificate | string | нет | Сертификат |
expiration | integer | нет | Время истечения |
issuing_ca | string | нет | Выдающий Центр Сертификации |
private_key | string | нет | Закрытый ключ |
private_key_type | string | нет | Тип закрытого ключа |
serial_number | string | нет | Серийный номер |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-verbatim/{role}
ID операции: pki-issuer-sign-verbatim-with-role
Выпустить сертификат напрямую на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
role | string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
csr | string (default: ) | нет | Подписываемый CSR в формате PEM. Значения будут взяты дословно из CSR, за исключением основных ограничений. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
ext_key_usage | array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени “ExtKeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
ext_key_usage_oids | array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми. |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
key_usage | array (default: [‘DigitalSignature’, ‘KeyAgreement’, ‘KeyEncipherment’]) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени “KeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
remove_roots_from_chain | boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits | integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_pss | boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
user_ids | array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка Сертификатов |
certificate | string | нет | Сертификат |
expiration | integer | нет | Время истечения |
issuing_ca | string | нет | Выдающий Центр Сертификации |
private_key | string | нет | Закрытый ключ |
private_key_type | string | нет | Тип закрытого ключа |
serial_number | string | нет | Серийный номер |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign/{role}
ID операции: pki-issuer-sign-with-role
Запросите сертификаты, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
role | string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
csr | string (default: ) | нет | Подписываемый CSR в формате PEM. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
remove_roots_from_chain | boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
user_ids | array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка Сертификатов |
certificate | string | нет | Сертификат |
expiration | integer | нет | Время истечения |
issuing_ca | string | нет | Выдающий Центр Сертификации |
private_key | string | нет | Закрытый ключ |
private_key_type | string | нет | Тип закрытого ключа |
serial_number | string | нет | Серийный номер |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl
ID операции: pki-issuer-read-unified-crl
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl | string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/delta
ID операции: pki-issuer-read-unified-crl-delta
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl | string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/delta/der
ID операции: pki-issuer-read-unified-crl-delta-der
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl | string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/delta/pem
ID операции: pki-issuer-read-unified-crl-delta-pem
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl | string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/der
ID операции: pki-issuer-read-unified-crl-der
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl | string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/pem
ID операции: pki-issuer-read-unified-crl-pem
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref | string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl | string | нет |
GET /{pki_mount_path}/issuers
ID операции: pki-list-issuers
Получите список сертификатов CA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_info | object | нет | Информация о ключе с именем издателя |
keys | array | нет | Список ключей |
POST /{pki_mount_path}/issuers/generate/intermediate/{exported}
ID операции: pki-issuers-generate-intermediate
Создает новую CSR и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
exported | string (internal, exported, kms) | path | да | Должно быть “internal”, “exported” или “kms”. Если установлено значение “exported”, будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ! |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
add_basic_constraints | boolean | нет | Добавлять ли расширение Basic Constraints с CA: true. Необходимо только в качестве обходного пути в некоторых сценариях совместимости со службами сертификации Active Directory. |
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country | array | нет | Если установлено, то для параметра Страна будет задано это значение. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
key_bits | integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name | string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением ‘default’. |
key_ref | string (default: default) | нет | Ссылка на существующий ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу. |
key_type | string (rsa, ec, ed25519, gost3410-256-paramset-a, gost3410-256-paramset-b, gost3410-256-paramset-c, gost3410-256-paramset-d, gost3410-512-paramset-a, gost3410-512-paramset-b, gost3410-512-paramset-c) (default: rsa) | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” являются единственными допустимыми значениями. |
locality | array | нет | Если установлено, то значение Locality будет установлено на это значение. |
managed_key_id | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration | integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization | array | нет | Если установлено, для O (Организация) будет использовано это значение. |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
ou | array | нет | Если установлено, для OU (OrganizationalUnit) будет использовано это значение. |
postal_code | array | нет | Если установлено, то для почтового индекса будет использовано это значение. |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
province | array | нет | Если установлено, для Province будет использовано это значение. |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits | integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address | array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
csr | string | нет | Запрос на подпись сертификата. |
key_id | string | нет | Идентификатор ключа. |
private_key | string | нет | Сгенерированный закрытый ключ. |
private_key_type | string | нет | Указывает формат, используемый для организации закрытого ключа. |
POST /{pki_mount_path}/issuers/generate/root/{exported}
ID операции: pki-issuers-generate-root
Создает новый сертификат CA и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
exported | string (internal, exported, kms) | path | да | Должно быть “internal”, “exported” или “kms”. Если установлено значение “exported”, будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ! |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country | array | нет | Если установлено, то для параметра Страна будет задано это значение. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name | string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением ‘default’. |
key_bits | integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name | string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением ‘default’. |
key_ref | string (default: default) | нет | Ссылка на существующий ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу. |
key_type | string (rsa, ec, ed25519, gost3410-256-paramset-a, gost3410-256-paramset-b, gost3410-256-paramset-c, gost3410-256-paramset-d, gost3410-512-paramset-a, gost3410-512-paramset-b, gost3410-512-paramset-c) (default: rsa) | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” являются единственными допустимыми значениями. |
locality | array | нет | Если установлено, то значение Locality будет установлено на это значение. |
managed_key_id | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
max_path_length | integer (default: -1) | нет | Максимально допустимая длина пути |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration | integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization | array | нет | Если установлено, для O (Организация) будет использовано это значение. |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
ou | array | нет | Если установлено, для OU (OrganizationalUnit) будет использовано это значение. |
permitted_dns_domains | array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты. Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10). |
postal_code | array | нет | Если установлено, то для почтового индекса будет использовано это значение. |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
province | array | нет | Если установлено, для Province будет использовано это значение. |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits | integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address | array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_pss | boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate | string | нет | Сгенерированный самозаверенный сертификат CA. |
expiration | integer | нет | Истечение срока действия указанного издателя. |
issuer_id | string | нет | Идентификатор издателя |
issuer_name | string | нет | Имя издателя. |
issuing_ca | string | нет | Выдающий центр сертификации. |
key_id | string | нет | Идентификатор ключа. |
key_name | string | нет | Имя ключа, если указано. |
private_key | string | нет | Закрытый ключ, если экспортируется, был указан. |
serial_number | string | нет | Запрошенный серийный номер именованного субъекта. |
POST /{pki_mount_path}/issuers/import/bundle
ID операции: pki-issuers-import-bundle
Импортируйте указанные сертификаты выдачи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pem_bundle | string | нет | PEM-формат, конкатенированный незашифрованный секретный ключ (необязательно) и сертификаты. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
existing_issuers | array | нет | Существующие издатели, указанные как часть импортируемого пакета этого запроса |
existing_keys | array | нет | Существующие ключи, указанные как часть импортируемого пакета этого запроса |
imported_issuers | array | нет | Совсем новые издатели, импортированные в рамках этого запроса |
imported_keys | array | нет | Совсем новые ключи, импортированные в рамках этого запроса |
mapping | object | нет | Отображение issuer_id в key_id для всех издателей, включённых в этот запрос |
POST /{pki_mount_path}/issuers/import/cert
ID операции: pki-issuers-import-cert
Импортируйте указанные сертификаты выдачи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pem_bundle | string | нет | PEM-формат, конкатенированный незашифрованный секретный ключ (необязательно) и сертификаты. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
existing_issuers | array | нет | Существующие издатели, указанные как часть импортируемого пакета этого запроса |
existing_keys | array | нет | Существующие ключи, указанные как часть импортируемого пакета этого запроса |
imported_issuers | array | нет | Совсем новые издатели, импортированные в рамках этого запроса |
imported_keys | array | нет | Совсем новые ключи, импортированные в рамках этого запроса |
mapping | object | нет | Отображение issuer_id в key_id для всех издателей, включённых в этот запрос |
GET /{pki_mount_path}/key/{key_ref}
ID операции: pki-read-key
Получение одного ключа эмитента
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
key_ref | string | path | да | Ссылка на ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор ключа, либо имя, присвоенное ключу. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id | string | нет | Идентификатор Ключа |
key_name | string | нет | Имя Ключа |
key_type | string | нет | Тип Ключа |
managed_key_id | string | нет | Идентификатор управляемого ключа |
managed_key_name | string | нет | Имя управляемого ключа |
subject_key_id | string | нет | Идентификатор ключа субъекта RFC 5280 публичного контрагента |
POST /{pki_mount_path}/key/{key_ref}
ID операции: pki-write-key
Получение одного ключа эмитента
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
key_ref | string | path | да | Ссылка на ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор ключа, либо имя, присвоенное ключу. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_name | string | нет | Человекочитаемое имя для этого ключа. |
Ответы
204: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id | string | нет | Идентификатор Ключа |
key_name | string | нет | Имя Ключа |
key_type | string | нет | Тип Ключа |
DELETE /{pki_mount_path}/key/{key_ref}
ID операции: pki-delete-key
Получение одного ключа эмитента
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
key_ref | string | path | да | Ссылка на ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор ключа, либо имя, присвоенное ключу. |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /{pki_mount_path}/keys
ID операции: pki-list-keys
Получение списка всех ключей эмитентов
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_info | object | нет | Информация о ключе с именем издателя |
keys | array | нет | Список ключей |
POST /{pki_mount_path}/keys/generate/exported
ID операции: pki-generate-exported-key
Сгенерируйте новый закрытый ключ, используемый для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_bits | integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name | string | нет | Необязательное имя, которое будет использоваться для этого ключа |
key_type | string (rsa, ec, ed25519, gost3410-256-paramset-a, gost3410-256-paramset-b, gost3410-256-paramset-c, gost3410-256-paramset-d, gost3410-512-paramset-a, gost3410-512-paramset-b, gost3410-512-paramset-c) (default: rsa) | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” являются единственными допустимыми значениями. |
managed_key_id | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id | string | нет | Идентификатор, присвоенный этому ключу. |
key_name | string | нет | Имя, назначенное этому ключу. |
key_type | string | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” являются единственными допустимыми значениями. |
private_key | string | нет | Строка закрытого ключа |
POST /{pki_mount_path}/keys/generate/internal
ID операции: pki-generate-internal-key
Сгенерируйте новый закрытый ключ, используемый для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_bits | integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name | string | нет | Необязательное имя, которое будет использоваться для этого ключа |
key_type | string (rsa, ec, ed25519, gost3410-256-paramset-a, gost3410-256-paramset-b, gost3410-256-paramset-c, gost3410-256-paramset-d, gost3410-512-paramset-a, gost3410-512-paramset-b, gost3410-512-paramset-c) (default: rsa) | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” являются единственными допустимыми значениями. |
managed_key_id | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id | string | нет | Идентификатор, присвоенный этому ключу. |
key_name | string | нет | Имя, назначенное этому ключу. |
key_type | string | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” являются единственными допустимыми значениями. |
private_key | string | нет | Строка закрытого ключа |
POST /{pki_mount_path}/keys/generate/kms
ID операции: pki-generate-kms-key
Сгенерируйте новый закрытый ключ, используемый для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_bits | integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name | string | нет | Необязательное имя, которое будет использоваться для этого ключа |
key_type | string (rsa, ec, ed25519, gost3410-256-paramset-a, gost3410-256-paramset-b, gost3410-256-paramset-c, gost3410-256-paramset-d, gost3410-512-paramset-a, gost3410-512-paramset-b, gost3410-512-paramset-c) (default: rsa) | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” являются единственными допустимыми значениями. |
managed_key_id | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id | string | нет | Идентификатор, присвоенный этому ключу. |
key_name | string | нет | Имя, назначенное этому ключу. |
key_type | string | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” являются единственными допустимыми значениями. |
private_key | string | нет | Строка закрытого ключа |
POST /{pki_mount_path}/keys/import
ID операции: pki-import-key
Импортируйте указанный ключ.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_name | string | нет | Необязательное имя, которое будет использоваться для этого ключа |
pem_bundle | string | нет | Незашифрованный секретный ключ в формате PEM |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id | string | нет | Идентификатор, присвоенный этому ключу. |
key_name | string | нет | Имя, назначенное этому ключу. |
key_type | string | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” являются единственными допустимыми значениями. |
POST /{pki_mount_path}/ocsp
ID операции: pki-query-ocsp
Запрос статуса отзыва сертификата через OCSP’
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{pki_mount_path}/ocsp/{req}
ID операции: pki-query-ocsp-with-get-req
Запрос статуса отзыва сертификата через OCSP’
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
req | string | path | да | запрос ocsp в кодировке base-64 |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/revoke
ID операции: pki-revoke
Отмените сертификат по серийному номеру или с явным сертификатом. При вызове /revoke-with-key необходимо предоставить закрытый ключ, соответствующий сертификату, для аутентификации запроса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate | string | нет | Сертификат для отзыва в формате PEM; должен быть подписан эмитентом в этом монтировании. |
serial_number | string | нет | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва |
state | string | нет | Состояние отзыва |
POST /{pki_mount_path}/revoke-with-key
ID операции: pki-revoke-with-key
Отмените сертификат по серийному номеру или с явным сертификатом. При вызове /revoke-with-key необходимо предоставить закрытый ключ, соответствующий сертификату, для аутентификации запроса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate | string | нет | Сертификат для отзыва в формате PEM; должен быть подписан эмитентом в этом монтировании. |
private_key | string | нет | Ключ, используемый для проверки разрешения на отзыв; должен быть в формате PEM. |
serial_number | string | нет | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
revocation_time | integer | нет | Время отзыва |
revocation_time_rfc3339 | string | нет | Время отзыва |
state | string | нет | Состояние отзыва |
GET /{pki_mount_path}/roles
ID операции: pki-list-roles
Список существующих ролей в этом бэкенде
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys | array | нет | Отображает список ролей |
GET /{pki_mount_path}/roles/{name}
ID операции: pki-read-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_any_name | boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для любого домена, независимо от ограничений allowed_domains. Дополнительные сведения см. в документации. |
allow_bare_domains | boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для самих базовых доменов, например “example.com” из доменов, перечисленных в allowed_domains. Это отдельная опция, поскольку в некоторых случаях это может рассматриваться как угроза безопасности. Дополнительную информацию см. в документации. |
allow_glob_domains | boolean | нет | Если установлено, домены, указанные в allowed_domains, могут включать шаблоны glob в стиле shell, например, “ftp*.example.com”. Дополнительные сведения см. в документации. |
allow_ip_sans | boolean | нет | Если установлено, разрешены альтернативные имена субъектов IP. Принимается любой действительный IP, проверка авторизации не производится. |
allow_localhost | boolean | нет | Разрешать ли “localhost” и “localdomain” в качестве допустимого общего имени в запросе, независимо от значения allowed_domains. |
allow_subdomains | boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для поддоменов доменов, перечисленных в allowed_domains, включая поддомены с подстановочными знаками. Дополнительную информацию см. в документации. |
allow_token_displayname | boolean | нет | Разрешать ли “localhost” и “localdomain” в качестве допустимого общего имени в запросе, независимо от значения allowed_domains. |
allow_wildcard_certificates | boolean | нет | Если установлено, разрешается выдавать сертификаты с подстановочными знаками в общем имени, в соответствии с разделом 6.4.3 документа RFC 6125; например, “.example.net” или “bz.example.net”. Дополнительные сведения см. в документации. |
allowed_domains | array | нет | Указывает домены, для которых этой роли разрешено выдавать сертификаты. Используется вместе с параметрами allow_bare_domains, allow_subdomains и allow_glob_domains для определения соответствия общего имени, записей SAN, типизированных для DNS, и записей SAN, типизированных для электронной почты, в сертификатах. Дополнительные сведения см. в документации. Этот параметр принимает строку или список доменов, разделенных запятыми. |
allowed_domains_template | boolean | нет | Если установлено, разрешенные домены могут быть указаны с помощью политик шаблонов идентификации. Домены без шаблонов также разрешены. |
allowed_other_sans | array | нет | Если установлено, то массив разрешенных других имен, которые можно поместить в SAN. Эти значения поддерживают globbing и должны быть в формате |
allowed_serial_numbers | array | нет | Если установлено, массив разрешенных серийных номеров, которые можно поместить в Subject. Эти значения поддерживают глобальный поиск. |
allowed_uri_sans | array | нет | Если задано, массив допустимых URI для альтернативных имен субъектов URI. Принимается любой допустимый URI, эти значения поддерживают глобализацию. |
allowed_uri_sans_template | boolean | нет | Если установлено, разрешенные URI SAN могут быть указаны с помощью политик шаблонов идентификации. Сети URI без шаблонов также разрешены. |
allowed_user_ids | array | нет | Если задано, то массив разрешенных идентификаторов пользователей, которые следует поместить в системный логин пользователя, указан здесь: https://www.rfc-editor.org/rfc/rfc1274#section-9.3.1 |
basic_constraints_valid_for_non_ca | boolean | нет | Отметьте основные ограничения, действующие при выдаче сертификатов не-CA. |
client_flag | boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве клиентского аутентификатора. По умолчанию установлено значение true. См. также RFC 5280, раздел 4.2.1.12. |
cn_validations | array | нет | Список разрешенных проверок для поля Common Name. Значения могут включать ’email’ для проверки того, что CN является адресом электронной почты, ‘hostname’ для проверки того, что CN является действительным именем хоста (потенциально включая подстановочные знаки). Если указано несколько проверок, они принимают семантику OR (разрешены либо email, либо hostname). Специальное значение ‘disabled’ позволяет отключить все проверки имени CN, что позволяет использовать произвольные CN без имени хоста и адреса электронной почты. |
code_signing_flag | boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве подписи кода. По умолчанию установлено значение false. См. также RFC 5280, раздел 4.2.1.12. |
country | array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Country будет равно этому значению. |
email_protection_flag | boolean | нет | Если установлено, сертификаты будут отмечены для использования в целях защиты электронной почты. По умолчанию установлено значение false. См. также RFC 5280, раздел 4.2.1.12. |
enforce_hostnames | boolean | нет | Если установлено, то для CN и DNS SAN разрешены только действительные имена хостов, а также часть хоста в адресах электронной почты. По умолчанию установлено значение true. |
ext_key_usage | array | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени “ExtKeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. См. также RFC 5280 Раздел 4.2.1.12. |
ext_key_usage_oids | array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми. |
generate_lease | boolean | нет | Если установлено, сертификаты, выпущенные/подписанные под этой ролью, будут иметь привязку к аренде Vault. По умолчанию установлено значение “false”. Сертификаты могут быть добавлены в CRL командой “vault revoke <lease_id>”, если сертификаты связаны с арендами. Это также можно сделать с помощью конечной точки “pki/revoke”. Однако, когда генерация аренд отключена, вызов “pki/revoke” будет единственным способом добавить сертификаты в CRL. Если генерируется большое количество сертификатов с длительным сроком действия, рекомендуется отключить генерацию аренды, так как большое количество аренд негативно влияет на время запуска Vault. |
issuer_ref | string | нет | Ссылка на эмитента, используемого для подписи запросов, обслуживаемых этой ролью. |
key_bits | integer | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_type | string | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” и “any” являются единственными допустимыми значениями. |
key_usage | array | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени “KeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. См. также RFC 5280 Раздел 4.2.1.3. |
locality | array | нет | Если установлено, Locality будет иметь это значение в сертификатах, выданных этой ролью. |
max_ttl | integer | нет | Максимально допустимая продолжительность аренды. Если не задано, по умолчанию используется системный максимальный TTL аренды. |
no_store | boolean | нет | Если установлено, сертификаты, выпущенные/подписанные для этой роли, не будут храниться в бэкенде хранилища. Это может повысить производительность при выпуске большого количества сертификатов. Однако сертификаты, выпущенные таким образом, не могут быть перечислены или отозваны, поэтому эта опция рекомендуется только для сертификатов, которые не являются чувствительными или очень недолговечными. Эта опция подразумевает значение “false” для “generate_lease”. |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ. |
not_before_duration | integer | нет | Длительность в секундах до настоящего момента, на которую требуется аннулировать сертификат. |
organization | array | нет | Если установлено, O (Organization) будет иметь это значение в сертификатах, выданных этой ролью. |
ou | array | нет | Если установлено, OU (OrganizationalUnit) будет иметь это значение в сертификатах, выданных этой ролью. |
policy_identifiers | array | нет | Строка или список OID политики, разделенные запятыми, или JSON-список квалифицированной информации о политике, который должен включать oid и может включать notice и/или cps url, используя форму [{“oid”=“1.3.6.1.4.1.7.8”, “notice”=“Я пользователь Notice”}, {“oid”=“1.3.6.1.4.1.44947.1.2.4 “, “cps”=“https://example.com”}]. |
postal_code | array | нет | Если установлено, то в сертификатах, выданных этой ролью, почтовый индекс будет иметь это значение. |
province | array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Province будет равно этому значению. |
require_cn | boolean | нет | Если установлено значение false, поле ‘common_name’ становится необязательным при генерации сертификата. |
server_flag | boolean (default: True) | нет | Если установлено, сертификаты будут отмечены для использования серверного аутентификатора. По умолчанию установлено значение true. См. также RFC 5280, раздел 4.2.1.12. |
signature_bits | integer | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
single_valued_rdns | boolean (default: False) | нет | Если установлено значение true, каждое значение атрибута субъекта (Country, Organization, OU и т. д.) кодируется в сертификате как отдельный однозначный RDN. Это соответствует распространенной практике большинства центров сертификации (OpenSSL, Microsoft CA). Если false, все значения одного и того же типа атрибута группируются в один многозначный RDN. |
street_address | array | нет | Если установлено, то в сертификатах, выданных этой ролью, будет установлено значение Street Address. |
ttl | integer | нет | Продолжительность аренды (срок действия сертификата), если не запрашивается конкретная продолжительность аренды. Продолжительность аренды контролирует срок действия сертификатов, выпущенных этим бэкендом. По умолчанию соответствует системному значению по умолчанию или значению max_ttl, в зависимости от того, что меньше. |
use_csr_common_name | boolean | нет | Если установлено, то при использовании с профилем подписи будет использоваться общее имя в CSR. Это *не* включает любые запрошенные альтернативные имена субъектов; для этого используйте use_csr_sans. По умолчанию установлено значение true. |
use_csr_sans | boolean | нет | Если установлено, то при использовании с профилем подписи будут использоваться SAN в CSR. Это *не* включает общее имя (cn); для этого используйте use_csr_common_name. По умолчанию установлено значение true. |
use_pss | boolean | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
POST /{pki_mount_path}/roles/{name}
ID операции: pki-write-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_any_name | boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для любого домена, независимо от ограничений allowed_domains. Дополнительные сведения см. в документации. |
allow_bare_domains | boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для самих базовых доменов, например “example.com” из доменов, перечисленных в allowed_domains. Это отдельная опция, поскольку в некоторых случаях это может рассматриваться как угроза безопасности. Дополнительную информацию см. в документации. |
allow_glob_domains | boolean | нет | Если установлено, домены, указанные в allowed_domains, могут включать шаблоны glob в стиле shell, например, “ftp*.example.com”. Дополнительные сведения см. в документации. |
allow_ip_sans | boolean (default: True) | нет | Если установлено, разрешены альтернативные имена субъектов IP. Принимается любой действительный IP, проверка авторизации не производится. |
allow_localhost | boolean (default: True) | нет | Разрешать ли “localhost” и “localdomain” в качестве допустимого общего имени в запросе, независимо от значения allowed_domains. |
allow_subdomains | boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для поддоменов доменов, перечисленных в allowed_domains, включая поддомены с подстановочными знаками. Дополнительную информацию см. в документации. |
allow_wildcard_certificates | boolean (default: True) | нет | Если установлено, разрешается выдавать сертификаты с подстановочными знаками в общем имени, в соответствии с разделом 6.4.3 документа RFC 6125; например, “.example.net” или “bz.example.net”. Дополнительные сведения см. в документации. |
allowed_domains | array | нет | Указывает домены, для которых этой роли разрешено выдавать сертификаты. Используется вместе с параметрами allow_bare_domains, allow_subdomains и allow_glob_domains для определения соответствия общего имени, записей SAN, типизированных для DNS, и записей SAN, типизированных для электронной почты, в сертификатах. Дополнительные сведения см. в документации. Этот параметр принимает строку или список доменов, разделенных запятыми. |
allowed_domains_template | boolean (default: False) | нет | Если установлено, разрешенные домены могут быть указаны с помощью политик шаблонов идентификации. Домены без шаблонов также разрешены. |
allowed_other_sans | array | нет | Если установлено, то массив разрешенных других имен, которые можно поместить в SAN. Эти значения поддерживают globbing и должны быть в формате |
allowed_serial_numbers | array | нет | Если установлено, массив разрешенных серийных номеров, которые можно поместить в Subject. Эти значения поддерживают глобальный поиск. |
allowed_uri_sans | array | нет | Если задано, массив допустимых URI для альтернативных имен субъектов URI. Принимается любой допустимый URI, эти значения поддерживают глобализацию. |
allowed_uri_sans_template | boolean (default: False) | нет | Если установлено, разрешенные URI SAN могут быть указаны с помощью политик шаблонов идентификации. Сети URI без шаблонов также разрешены. |
allowed_user_ids | array | нет | Если задано, то массив разрешенных идентификаторов пользователей, которые следует поместить в системный логин пользователя, указан здесь: https://www.rfc-editor.org/rfc/rfc1274#section-9.3.1 |
backend | string | нет | Тип бэкэнда |
basic_constraints_valid_for_non_ca | boolean | нет | Отметьте основные ограничения, действующие при выдаче сертификатов не-CA. |
client_flag | boolean (default: True) | нет | Если установлено, сертификаты будут помечены для использования в качестве клиентского аутентификатора. По умолчанию установлено значение true. См. также RFC 5280, раздел 4.2.1.12. |
cn_validations | array (default: [’email’, ‘hostname’]) | нет | Список разрешенных проверок для поля Common Name. Значения могут включать ’email’ для проверки того, что CN является адресом электронной почты, ‘hostname’ для проверки того, что CN является действительным именем хоста (потенциально включая подстановочные знаки). Если указано несколько проверок, они принимают семантику OR (разрешены либо email, либо hostname). Специальное значение ‘disabled’ позволяет отключить все проверки имени CN, что позволяет использовать произвольные CN без имени хоста и адреса электронной почты. |
code_signing_flag | boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве подписи кода. По умолчанию установлено значение false. См. также RFC 5280, раздел 4.2.1.12. |
country | array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Country будет равно этому значению. |
email_protection_flag | boolean | нет | Если установлено, сертификаты будут отмечены для использования в целях защиты электронной почты. По умолчанию установлено значение false. См. также RFC 5280, раздел 4.2.1.12. |
enforce_hostnames | boolean (default: True) | нет | Если установлено, то для CN и DNS SAN разрешены только действительные имена хостов, а также часть хоста в адресах электронной почты. По умолчанию установлено значение true. |
ext_key_usage | array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени “ExtKeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. См. также RFC 5280 Раздел 4.2.1.12. |
ext_key_usage_oids | array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми. |
generate_lease | boolean | нет | Если установлено, сертификаты, выпущенные/подписанные под этой ролью, будут иметь привязку к аренде Vault. По умолчанию установлено значение “false”. Сертификаты могут быть добавлены в CRL командой “vault revoke <lease_id>”, если сертификаты связаны с арендами. Это также можно сделать с помощью конечной точки “pki/revoke”. Однако, когда генерация аренд отключена, вызов “pki/revoke” будет единственным способом добавить сертификаты в CRL. Если генерируется большое количество сертификатов с длительным сроком действия, рекомендуется отключить генерацию аренды, так как большое количество аренд негативно влияет на время запуска Vault. |
issuer_ref | string (default: default) | нет | Ссылка на эмитента, используемого для подписи запросов, обслуживаемых этой ролью. |
key_bits | integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_type | string (rsa, ec, ed25519, gost3410-256-paramset-a, gost3410-256-paramset-b, gost3410-256-paramset-c, gost3410-256-paramset-d, gost3410-512-paramset-a, gost3410-512-paramset-b, gost3410-512-paramset-c, any) (default: rsa) | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” и “any” являются единственными допустимыми значениями. |
key_usage | array (default: [‘DigitalSignature’, ‘KeyAgreement’, ‘KeyEncipherment’]) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени “KeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. См. также RFC 5280 Раздел 4.2.1.3. |
locality | array | нет | Если установлено, Locality будет иметь это значение в сертификатах, выданных этой ролью. |
max_ttl | integer | нет | Максимально допустимая продолжительность аренды. Если не задано, по умолчанию используется системный максимальный TTL аренды. |
no_store | boolean | нет | Если установлено, сертификаты, выпущенные/подписанные для этой роли, не будут храниться в бэкенде хранилища. Это может повысить производительность при выпуске большого количества сертификатов. Однако сертификаты, выпущенные таким образом, не могут быть перечислены или отозваны, поэтому эта опция рекомендуется только для сертификатов, которые не являются чувствительными или очень недолговечными. Эта опция подразумевает значение “false” для “generate_lease”. |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ. |
not_before_duration | integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization | array | нет | Если установлено, O (Organization) будет иметь это значение в сертификатах, выданных этой ролью. |
ou | array | нет | Если установлено, OU (OrganizationalUnit) будет иметь это значение в сертификатах, выданных этой ролью. |
policy_identifiers | array | нет | Строка или список OID политики, разделенные запятыми, или JSON-список квалифицированной информации о политике, который должен включать oid и может включать notice и/или cps url, используя форму [{“oid”=“1.3.6.1.4.1.7.8”, “notice”=“Я пользователь Notice”}, {“oid”=“1.3.6.1.4.1.44947.1.2.4 “, “cps”=“https://example.com”}]. |
postal_code | array | нет | Если установлено, то в сертификатах, выданных этой ролью, почтовый индекс будет иметь это значение. |
province | array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Province будет равно этому значению. |
require_cn | boolean (default: True) | нет | Если установлено значение false, поле ‘common_name’ становится необязательным при генерации сертификата. |
server_flag | boolean (default: True) | нет | Если установлено, сертификаты будут отмечены для использования серверного аутентификатора. По умолчанию установлено значение true. См. также RFC 5280, раздел 4.2.1.12. |
signature_bits | integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
single_valued_rdns | boolean (default: False) | нет | Если установлено значение true, каждое значение атрибута субъекта (Country, Organization, OU и т. д.) кодируется в сертификате как отдельный однозначный RDN. Это соответствует распространенной практике большинства центров сертификации (OpenSSL, Microsoft CA). Если false, все значения одного и того же типа атрибута группируются в один многозначный RDN. |
street_address | array | нет | Если установлено, то в сертификатах, выданных этой ролью, будет установлено значение Street Address. |
ttl | integer | нет | Продолжительность аренды (срок действия сертификата), если не запрашивается конкретная продолжительность аренды. Продолжительность аренды контролирует срок действия сертификатов, выпущенных этим бэкендом. По умолчанию соответствует системному значению по умолчанию или значению max_ttl, в зависимости от того, что меньше. |
use_csr_common_name | boolean (default: True) | нет | Если установлено, то при использовании с профилем подписи будет использоваться общее имя в CSR. Это *не* включает любые запрошенные альтернативные имена субъектов; для этого используйте use_csr_sans. По умолчанию установлено значение true. |
use_csr_sans | boolean (default: True) | нет | Если установлено, то при использовании с профилем подписи будут использоваться SAN в CSR. Это *не* включает общее имя (cn); для этого используйте use_csr_common_name. По умолчанию установлено значение true. |
use_pss | boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_any_name | boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для любого домена, независимо от ограничений allowed_domains. Дополнительные сведения см. в документации. |
allow_bare_domains | boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для самих базовых доменов, например “example.com” из доменов, перечисленных в allowed_domains. Это отдельная опция, поскольку в некоторых случаях это может рассматриваться как угроза безопасности. Дополнительную информацию см. в документации. |
allow_glob_domains | boolean | нет | Если установлено, домены, указанные в allowed_domains, могут включать шаблоны glob в стиле shell, например, “ftp*.example.com”. Дополнительные сведения см. в документации. |
allow_ip_sans | boolean | нет | Если установлено, разрешены альтернативные имена субъектов IP. Принимается любой действительный IP, проверка авторизации не производится. |
allow_localhost | boolean | нет | Разрешать ли “localhost” и “localdomain” в качестве допустимого общего имени в запросе, независимо от значения allowed_domains. |
allow_subdomains | boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для поддоменов доменов, перечисленных в allowed_domains, включая поддомены с подстановочными знаками. Дополнительную информацию см. в документации. |
allow_token_displayname | boolean | нет | Разрешать ли “localhost” и “localdomain” в качестве допустимого общего имени в запросе, независимо от значения allowed_domains. |
allow_wildcard_certificates | boolean | нет | Если установлено, разрешается выдавать сертификаты с подстановочными знаками в общем имени, в соответствии с разделом 6.4.3 документа RFC 6125; например, “.example.net” или “bz.example.net”. Дополнительные сведения см. в документации. |
allowed_domains | array | нет | Указывает домены, для которых этой роли разрешено выдавать сертификаты. Используется вместе с параметрами allow_bare_domains, allow_subdomains и allow_glob_domains для определения соответствия общего имени, записей SAN, типизированных для DNS, и записей SAN, типизированных для электронной почты, в сертификатах. Дополнительные сведения см. в документации. Этот параметр принимает строку или список доменов, разделенных запятыми. |
allowed_domains_template | boolean | нет | Если установлено, разрешенные домены могут быть указаны с помощью политик шаблонов идентификации. Домены без шаблонов также разрешены. |
allowed_other_sans | array | нет | Если установлено, то массив разрешенных других имен, которые можно поместить в SAN. Эти значения поддерживают globbing и должны быть в формате |
allowed_serial_numbers | array | нет | Если установлено, массив разрешенных серийных номеров, которые можно поместить в Subject. Эти значения поддерживают глобальный поиск. |
allowed_uri_sans | array | нет | Если задано, массив допустимых URI для альтернативных имен субъектов URI. Принимается любой допустимый URI, эти значения поддерживают глобализацию. |
allowed_uri_sans_template | boolean | нет | Если установлено, разрешенные URI SAN могут быть указаны с помощью политик шаблонов идентификации. Сети URI без шаблонов также разрешены. |
allowed_user_ids | array | нет | Если задано, то массив разрешенных идентификаторов пользователей, которые следует поместить в системный логин пользователя, указан здесь: https://www.rfc-editor.org/rfc/rfc1274#section-9.3.1 |
basic_constraints_valid_for_non_ca | boolean | нет | Отметьте основные ограничения, действующие при выдаче сертификатов не-CA. |
client_flag | boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве клиентского аутентификатора. По умолчанию установлено значение true. См. также RFC 5280, раздел 4.2.1.12. |
cn_validations | array | нет | Список разрешенных проверок для поля Common Name. Значения могут включать ’email’ для проверки того, что CN является адресом электронной почты, ‘hostname’ для проверки того, что CN является действительным именем хоста (потенциально включая подстановочные знаки). Если указано несколько проверок, они принимают семантику OR (разрешены либо email, либо hostname). Специальное значение ‘disabled’ позволяет отключить все проверки имени CN, что позволяет использовать произвольные CN без имени хоста и адреса электронной почты. |
code_signing_flag | boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве подписи кода. По умолчанию установлено значение false. См. также RFC 5280, раздел 4.2.1.12. |
country | array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Country будет равно этому значению. |
email_protection_flag | boolean | нет | Если установлено, сертификаты будут отмечены для использования в целях защиты электронной почты. По умолчанию установлено значение false. См. также RFC 5280, раздел 4.2.1.12. |
enforce_hostnames | boolean | нет | Если установлено, то для CN и DNS SAN разрешены только действительные имена хостов, а также часть хоста в адресах электронной почты. По умолчанию установлено значение true. |
ext_key_usage | array | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени “ExtKeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. См. также RFC 5280 Раздел 4.2.1.12. |
ext_key_usage_oids | array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми. |
generate_lease | boolean | нет | Если установлено, сертификаты, выпущенные/подписанные под этой ролью, будут иметь привязку к аренде Vault. По умолчанию установлено значение “false”. Сертификаты могут быть добавлены в CRL командой “vault revoke <lease_id>”, если сертификаты связаны с арендами. Это также можно сделать с помощью конечной точки “pki/revoke”. Однако, когда генерация аренд отключена, вызов “pki/revoke” будет единственным способом добавить сертификаты в CRL. Если генерируется большое количество сертификатов с длительным сроком действия, рекомендуется отключить генерацию аренды, так как большое количество аренд негативно влияет на время запуска Vault. |
issuer_ref | string | нет | Ссылка на эмитента, используемого для подписи запросов, обслуживаемых этой ролью. |
key_bits | integer | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_type | string | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” и “any” являются единственными допустимыми значениями. |
key_usage | array | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени “KeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. См. также RFC 5280 Раздел 4.2.1.3. |
locality | array | нет | Если установлено, Locality будет иметь это значение в сертификатах, выданных этой ролью. |
max_ttl | integer | нет | Максимально допустимая продолжительность аренды. Если не задано, по умолчанию используется системный максимальный TTL аренды. |
no_store | boolean | нет | Если установлено, сертификаты, выпущенные/подписанные для этой роли, не будут храниться в бэкенде хранилища. Это может повысить производительность при выпуске большого количества сертификатов. Однако сертификаты, выпущенные таким образом, не могут быть перечислены или отозваны, поэтому эта опция рекомендуется только для сертификатов, которые не являются чувствительными или очень недолговечными. Эта опция подразумевает значение “false” для “generate_lease”. |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ. |
not_before_duration | integer | нет | Длительность в секундах до настоящего момента, на которую требуется аннулировать сертификат. |
organization | array | нет | Если установлено, O (Organization) будет иметь это значение в сертификатах, выданных этой ролью. |
ou | array | нет | Если установлено, OU (OrganizationalUnit) будет иметь это значение в сертификатах, выданных этой ролью. |
policy_identifiers | array | нет | Строка или список OID политики, разделенные запятыми, или JSON-список квалифицированной информации о политике, который должен включать oid и может включать notice и/или cps url, используя форму [{“oid”=“1.3.6.1.4.1.7.8”, “notice”=“Я пользователь Notice”}, {“oid”=“1.3.6.1.4.1.44947.1.2.4 “, “cps”=“https://example.com”}]. |
postal_code | array | нет | Если установлено, то в сертификатах, выданных этой ролью, почтовый индекс будет иметь это значение. |
province | array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Province будет равно этому значению. |
require_cn | boolean | нет | Если установлено значение false, поле ‘common_name’ становится необязательным при генерации сертификата. |
server_flag | boolean (default: True) | нет | Если установлено, сертификаты будут отмечены для использования серверного аутентификатора. По умолчанию установлено значение true. См. также RFC 5280, раздел 4.2.1.12. |
signature_bits | integer | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
single_valued_rdns | boolean (default: False) | нет | Если установлено значение true, каждое значение атрибута субъекта (Country, Organization, OU и т. д.) кодируется в сертификате как отдельный однозначный RDN. Это соответствует распространенной практике большинства центров сертификации (OpenSSL, Microsoft CA). Если false, все значения одного и того же типа атрибута группируются в один многозначный RDN. |
street_address | array | нет | Если установлено, то в сертификатах, выданных этой ролью, будет установлено значение Street Address. |
ttl | integer | нет | Продолжительность аренды (срок действия сертификата), если не запрашивается конкретная продолжительность аренды. Продолжительность аренды контролирует срок действия сертификатов, выпущенных этим бэкендом. По умолчанию соответствует системному значению по умолчанию или значению max_ttl, в зависимости от того, что меньше. |
use_csr_common_name | boolean | нет | Если установлено, то при использовании с профилем подписи будет использоваться общее имя в CSR. Это *не* включает любые запрошенные альтернативные имена субъектов; для этого используйте use_csr_sans. По умолчанию установлено значение true. |
use_csr_sans | boolean | нет | Если установлено, то при использовании с профилем подписи будут использоваться SAN в CSR. Это *не* включает общее имя (cn); для этого используйте use_csr_common_name. По умолчанию установлено значение true. |
use_pss | boolean | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
DELETE /{pki_mount_path}/roles/{name}
ID операции: pki-delete-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /{pki_mount_path}/roles/{role}/acme/account/{kid}
ID операции: pki-write-roles-role-acme-account-kid
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kid | string | path | да | Идентификатор ключа, предоставленный центром сертификации |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/authorization/{auth_id}
ID операции: pki-write-roles-role-acme-authorization-auth_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id | string | path | да | Значение идентификатора авторизации ACME |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/challenge/{auth_id}/{challenge_type}
ID операции: pki-write-roles-role-acme-challenge-auth_id-challenge_type
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id | string | path | да | Значение идентификатора авторизации ACME |
challenge_type | string | path | да | Тип вызова ACME |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
GET /{pki_mount_path}/roles/{role}/acme/directory
ID операции: pki-read-roles-role-acme-directory
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/new-account
ID операции: pki-write-roles-role-acme-new-account
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/new-eab
ID операции: pki-generate-eab-key-for-role
Создает привязки внешней учетной записи для использования в ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_directory | string | нет | Каталог ACME, которому принадлежит ключ |
created_on | string | нет | Дата и время в формате RFC3339, когда был создан EAB токен |
id | string | нет | Идентификатор ключа EAB |
key | string | нет | Ключ EAB hmac |
key_type | string | нет | Тип ключа EAB |
GET /{pki_mount_path}/roles/{role}/acme/new-nonce
ID операции: pki-read-roles-role-acme-new-nonce
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/new-order
ID операции: pki-write-roles-role-acme-new-order
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/order/{order_id}
ID операции: pki-write-roles-role-acme-order-order_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id | string | path | да | Идентификатор заказа ACME для получения |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/order/{order_id}/cert
ID операции: pki-write-roles-role-acme-order-order_id-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id | string | path | да | Идентификатор заказа ACME для получения |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/order/{order_id}/finalize
ID операции: pki-write-roles-role-acme-order-order_id-finalize
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id | string | path | да | Идентификатор заказа ACME для получения |
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/orders
ID операции: pki-write-roles-role-acme-orders
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/revoke-cert
ID операции: pki-write-roles-role-acme-revoke-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | Желаемая роль для запроса acme |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload | string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected | string | нет | ACME запрос ‘защищенного’ значения |
signature | string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK
DELETE /{pki_mount_path}/root
ID операции: pki-delete-root
Удаляет ключ корневого центра сертификации, чтобы можно было создать новый.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/root/generate/{exported}
ID операции: pki-generate-root
Создает новый сертификат CA и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
exported | string (internal, exported, kms) | path | да | Должно быть “internal”, “exported” или “kms”. Если установлено значение “exported”, будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ! |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country | array | нет | Если установлено, то для параметра Страна будет задано это значение. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name | string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением ‘default’. |
key_bits | integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name | string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением ‘default’. |
key_ref | string (default: default) | нет | Ссылка на существующий ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу. |
key_type | string (rsa, ec, ed25519, gost3410-256-paramset-a, gost3410-256-paramset-b, gost3410-256-paramset-c, gost3410-256-paramset-d, gost3410-512-paramset-a, gost3410-512-paramset-b, gost3410-512-paramset-c) (default: rsa) | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” являются единственными допустимыми значениями. |
locality | array | нет | Если установлено, то значение Locality будет установлено на это значение. |
managed_key_id | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
max_path_length | integer (default: -1) | нет | Максимально допустимая длина пути |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration | integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization | array | нет | Если установлено, для O (Организация) будет использовано это значение. |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
ou | array | нет | Если установлено, для OU (OrganizationalUnit) будет использовано это значение. |
permitted_dns_domains | array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты. Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10). |
postal_code | array | нет | Если установлено, то для почтового индекса будет использовано это значение. |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
province | array | нет | Если установлено, для Province будет использовано это значение. |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits | integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address | array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_pss | boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate | string | нет | Сгенерированный самозаверенный сертификат CA. |
expiration | integer | нет | Истечение срока действия указанного издателя. |
issuer_id | string | нет | Идентификатор издателя |
issuer_name | string | нет | Имя издателя. |
issuing_ca | string | нет | Выдающий центр сертификации. |
key_id | string | нет | Идентификатор ключа. |
key_name | string | нет | Имя ключа, если указано. |
private_key | string | нет | Закрытый ключ, если экспортируется, был указан. |
serial_number | string | нет | Запрошенный серийный номер именованного субъекта. |
POST /{pki_mount_path}/root/replace
ID операции: pki-replace-root
Считывание и установка сертификата эмитента по умолчанию для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default | string (default: next) | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default | string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию. |
default_follows_latest_issuer | boolean | нет | Должен ли эмитент по умолчанию автоматически следовать последнему сгенерированному или импортированному эмитенту. По умолчанию имеет значение false. |
POST /{pki_mount_path}/root/rotate/{exported}
ID операции: pki-rotate-root
Создает новый сертификат CA и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
exported | string (internal, exported, kms) | path | да | Должно быть “internal”, “exported” или “kms”. Если установлено значение “exported”, будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ! |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country | array | нет | Если установлено, то для параметра Страна будет задано это значение. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name | string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением ‘default’. |
key_bits | integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name | string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением ‘default’. |
key_ref | string (default: default) | нет | Ссылка на существующий ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу. |
key_type | string (rsa, ec, ed25519, gost3410-256-paramset-a, gost3410-256-paramset-b, gost3410-256-paramset-c, gost3410-256-paramset-d, gost3410-512-paramset-a, gost3410-512-paramset-b, gost3410-512-paramset-c) (default: rsa) | нет | Тип ключа для использования; по умолчанию RSA. “rsa” “ec”, “ed25519”, “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c” являются единственными допустимыми значениями. |
locality | array | нет | Если установлено, то значение Locality будет установлено на это значение. |
managed_key_id | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name | string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
max_path_length | integer (default: -1) | нет | Максимально допустимая длина пути |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration | integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization | array | нет | Если установлено, для O (Организация) будет использовано это значение. |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
ou | array | нет | Если установлено, для OU (OrganizationalUnit) будет использовано это значение. |
permitted_dns_domains | array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты. Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10). |
postal_code | array | нет | Если установлено, то для почтового индекса будет использовано это значение. |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
province | array | нет | Если установлено, для Province будет использовано это значение. |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits | integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address | array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_pss | boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate | string | нет | Сгенерированный самозаверенный сертификат CA. |
expiration | integer | нет | Истечение срока действия указанного издателя. |
issuer_id | string | нет | Идентификатор издателя |
issuer_name | string | нет | Имя издателя. |
issuing_ca | string | нет | Выдающий центр сертификации. |
key_id | string | нет | Идентификатор ключа. |
key_name | string | нет | Имя ключа, если указано. |
private_key | string | нет | Закрытый ключ, если экспортируется, был указан. |
serial_number | string | нет | Запрошенный серийный номер именованного субъекта. |
POST /{pki_mount_path}/root/sign-intermediate
ID операции: pki-root-sign-intermediate
Выпустить промежуточный сертификат CA на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country | array | нет | Если установлено, то для параметра Страна будет задано это значение. |
csr | string (default: ) | нет | Подписываемый CSR в формате PEM. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name | string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением ‘default’. |
issuer_ref | string (default: default) | нет | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
locality | array | нет | Если установлено, то значение Locality будет установлено на это значение. |
max_path_length | integer (default: -1) | нет | Максимально допустимая длина пути |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration | integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization | array | нет | Если установлено, для O (Организация) будет использовано это значение. |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
ou | array | нет | Если установлено, для OU (OrganizationalUnit) будет использовано это значение. |
permitted_dns_domains | array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты. Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10). |
postal_code | array | нет | Если установлено, то для почтового индекса будет использовано это значение. |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
province | array | нет | Если установлено, для Province будет использовано это значение. |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits | integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
skid | string (default: ) | нет | Значение для поля Subject Key Identifier (RFC 5280 Раздел 4.2.1.2). Это значение должно использоваться ТОЛЬКО при перекрестной подписи для имитации значения SKID существующего сертификата; это необходимо для того, чтобы некоторые реализации TLS (например, OpenSSL), использующие совпадения SKID/AKID при построении цепочек, могли ограничивать возможные допустимые цепочки. Указывается в виде строки в шестнадцатеричном формате. По умолчанию пусто, что позволяет Vault автоматически вычислять SKID в соответствии с первым методом в приведенном выше разделе RFC. |
street_address | array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_csr_values | boolean (default: False) | нет | Если верно, то: 1) Информация о субъекте, включая имена и альтернативные имена, будет сохранена из CSR, а не использована в других параметрах этого пути; 2) Любые ключевые использования, запрошенные в CSR, будут добавлены к базовому набору ключевых использований, используемых для сертификатов CA, подписанных этим путем; например, флаг неотрицания; 3) Расширения, запрошенные в CSR, будут скопированы в выпущенный сертификат. |
use_pss | boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка CA |
certificate | string | нет | Сертификат |
expiration | integer | нет | Время истечения |
issuing_ca | string | нет | Выдающий CA |
serial_number | string | нет | Серийный номер |
POST /{pki_mount_path}/root/sign-self-issued
ID операции: pki-root-sign-self-issued
Повторный выпуск самоподписанного сертификата на основе предоставленного сертификата.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate | string | нет | Подписываемый самовыпущенный сертификат в формате PEM. |
issuer_ref | string (default: default) | нет | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
require_matching_certificate_algorithms | boolean (default: False) | нет | Если true, то требуется, чтобы алгоритм открытого ключа подписывающего лица совпадал с алгоритмом собственного сертификата. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate | string | нет | Сертификат |
issuing_ca | string | нет | Выдающий CA |
POST /{pki_mount_path}/sign-verbatim
ID операции: pki-sign-verbatim
Выпустить сертификат напрямую на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
csr | string (default: ) | нет | Подписываемый CSR в формате PEM. Значения будут взяты дословно из CSR, за исключением основных ограничений. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
ext_key_usage | array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени “ExtKeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
ext_key_usage_oids | array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми. |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_ref | string (default: default) | нет | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
key_usage | array (default: [‘DigitalSignature’, ‘KeyAgreement’, ‘KeyEncipherment’]) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени “KeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
remove_roots_from_chain | boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
role | string | нет | Желаемая роль с конфигурацией для этого запроса |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits | integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_pss | boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
user_ids | array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка Сертификатов |
certificate | string | нет | Сертификат |
expiration | integer | нет | Время истечения |
issuing_ca | string | нет | Выдающий Центр Сертификации |
private_key | string | нет | Закрытый ключ |
private_key_type | string | нет | Тип закрытого ключа |
serial_number | string | нет | Серийный номер |
POST /{pki_mount_path}/sign-verbatim/{role}
ID операции: pki-sign-verbatim-with-role
Выпустить сертификат напрямую на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
csr | string (default: ) | нет | Подписываемый CSR в формате PEM. Значения будут взяты дословно из CSR, за исключением основных ограничений. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
ext_key_usage | array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени “ExtKeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
ext_key_usage_oids | array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми. |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_ref | string (default: default) | нет | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
key_usage | array (default: [‘DigitalSignature’, ‘KeyAgreement’, ‘KeyEncipherment’]) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени “KeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
remove_roots_from_chain | boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits | integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_pss | boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
user_ids | array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка Сертификатов |
certificate | string | нет | Сертификат |
expiration | integer | нет | Время истечения |
issuing_ca | string | нет | Выдающий Центр Сертификации |
private_key | string | нет | Закрытый ключ |
private_key_type | string | нет | Тип закрытого ключа |
serial_number | string | нет | Серийный номер |
POST /{pki_mount_path}/sign/{role}
ID операции: pki-sign-with-role
Запросите сертификаты, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names | string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name | string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
csr | string (default: ) | нет | Подписываемый CSR в формате PEM. |
exclude_cn_from_sans | boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format | string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem”. |
ip_sans | array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_ref | string (default: default) | нет | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
not_after | string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans | array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format | string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der”. |
remove_roots_from_chain | boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
serial_number | string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
ttl | integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans | array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
user_ids | array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain | array | нет | Цепочка Сертификатов |
certificate | string | нет | Сертификат |
expiration | integer | нет | Время истечения |
issuing_ca | string | нет | Выдающий Центр Сертификации |
private_key | string | нет | Закрытый ключ |
private_key_type | string | нет | Тип закрытого ключа |
serial_number | string | нет | Серийный номер |
POST /{pki_mount_path}/tidy
ID операции: pki-tidy
Наведите порядок в бэкенде, удалив просроченные сертификаты, информацию об отзыве или и то, и другое.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_safety_buffer | integer (default: 2592000) | нет | Количество времени, которое должно пройти после создания, чтобы аккаунт, не имеющий заказов, был помечен как отозванный, а также количество времени после того, как он был помечен как отозванный или деактивированный. |
issuer_safety_buffer | integer (default: 31536000) | нет | Количество дополнительного времени, которое должно пройти после истечения срока действия эмитента, прежде чем он будет удален из внутреннего хранилища. По умолчанию 8760 часов (1 год). |
pause_duration | string (default: 0s) | нет | Количество времени ожидания между сертификатами обработки. Это позволяет операторам изменять профиль выполнения tidy, чтобы он потреблял меньше ресурсов, замедляя время выполнения. Обратите внимание, что весь список сертификатов будет храниться в памяти в течение всей операции tidy, но ресурсы для чтения/обработки/обновления существующих записей будут распределены на больший промежуток времени. По умолчанию это ноль секунд. |
revocation_queue_safety_buffer | integer (default: 172800) | нет | Количество времени, которое должно пройти с момента инициирования межкластерного запроса на отзыв до момента, когда он будет отправлен на удаление. Слишком низкое значение этого параметра может привести к удалению действительных запросов на отзыв до того, как кластер-владелец успеет их обработать, особенно если кластер находится в автономном режиме. |
safety_buffer | integer (default: 259200) | нет | Количество дополнительного времени, которое должно пройти после истечения срока действия сертификата, чтобы он был удален из внутреннего хранилища и/или списка отзыва. По умолчанию 72 часа. |
tidy_acme | boolean (default: False) | нет | Установите значение true, чтобы включить очистку счетов, заказов и авторизаций ACME. Заказы ACME убираются (удаляются) safety_buffer после истечения срока действия связанного с ними сертификата, или после истечения срока действия заказа и соответствующих авторизаций, если сертификат не был изготовлен. Авторизации удаляются вместе с соответствующим заказом. Когда возраст действующего аккаунта ACME составляет не менее acme_account_safety_buffer, и у него не остается связанных с ним заказов, аккаунт помечается как отозванный. После того как с даты отзыва или деактивации пройдет еще один буфер безопасности acme_account_safety_buffer, отозванный или деактивированный аккаунт ACME удаляется. |
tidy_cert_store | boolean | нет | Установите значение true, чтобы разрешить очистку хранилища сертификатов |
tidy_cross_cluster_revoked_certs | boolean | нет | Установите значение true, чтобы включить очистку межкластерного хранилища отозванных сертификатов. Запускается только на активном основном узле. |
tidy_expired_issuers | boolean | нет | Установите значение true для автоматического удаления истекших эмитентов из буфера issuer_safety_buffer. Никакие ключи не будут удалены в ходе этой операции. |
tidy_move_legacy_ca_bundle | boolean | нет | Установите значение true, чтобы переместить устаревший ca_bundle из /config/ca_bundle в /config/ca_bundle.bak. Это предотвращает переход на версии до Vault 1.11 (поскольку старые PKI-движки не знают о новой схеме хранения нескольких эмитентов), но улучшает производительность при монтировании PKI с печатью. Это произойдет только в том случае, если после первоначального переноса хранилища прошло не менее issuer_safety_buffer времени. Этот резерв сохраняется на случай возникновения проблем в будущих миграциях. При желании операторы могут удалить ее через sys/raw. Резервная копия будет удалена вызовом DELETE /root, но обратите внимание, что при этом удаляются ВСЕ эмитенты в пределах монтирования (и, следовательно, это нежелательно в большинстве сценариев работы). |
tidy_revocation_list | boolean | нет | Утратил силу; синоним для ’tidy_revoked_certs |
tidy_revocation_queue | boolean (default: False) | нет | Установите значение true, чтобы удалить устаревшие записи очереди отзыва, которые не были подтверждены ни одним активным кластером. Запускается только на активном основном узле |
tidy_revoked_cert_issuer_associations | boolean | нет | Установите значение true для проверки ассоциаций эмитентов в записях отзыва. Это помогает повысить производительность создания CRL и ответов OCSP. |
tidy_revoked_certs | boolean | нет | Установите значение true, чтобы прекратить действие всех отозванных и просроченных сертификатов, удалив их как из CRL, так и из хранилища. CRL будет ротирован, если это приведет к удалению каких-либо значений. |
Ответы
202: Принято
POST /{pki_mount_path}/tidy-cancel
ID операции: pki-tidy-cancel
Отменяет текущую операцию tidy.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_deleted_count | integer | нет | Количество удалённых отозванных аккаунтов acme |
acme_account_revoked_count | integer | нет | Количество отозванных неиспользуемых аккаунтов acme |
acme_account_safety_buffer | integer | нет | Буфер безопасности после создания, после которого аккаунты, у которых нет заказов, будут отозваны |
acme_orders_deleted_count | integer | нет | Количество удалённых просроченных, неиспользованных заказов acme |
cert_store_deleted_count | integer | нет | Количество удаленных записей хранилища сертификатов |
cross_revoked_cert_deleted_count | integer | нет | |
current_cert_store_count | integer | нет | Количество удалённых записей отзыва сертификатов |
current_revoked_cert_count | integer | нет | Количество удалённых записей отзыва сертификатов |
error | string | нет | Сообщение об ошибке |
internal_backend_uuid | string | нет | |
issuer_safety_buffer | integer | нет | Буфер безопасности издателя |
last_auto_tidy_finished | string | нет | Время завершения последней автоматической операции очистки |
message | string | нет | Сообщение операции |
missing_issuer_cert_count | integer | нет | |
pause_duration | string | нет | Время паузы между упорядочиванием сертификатов |
revocation_queue_deleted_count | integer | нет | |
revocation_queue_safety_buffer | integer | нет | Буфер безопасности очереди отзыва |
revoked_cert_deleted_count | integer | нет | Количество удалённых записей отзыва сертификатов |
safety_buffer | integer | нет | Длительность временного буфера безопасности |
state | string | нет | Одно из: неактивен, работает, завершен или ошибка |
tidy_acme | boolean | нет | Очистка неиспользуемых аккаунтов и заказов Acme |
tidy_cert_store | boolean | нет | Запускает очистку хранилища сертификатов |
tidy_cross_cluster_revoked_certs | boolean | нет | Очистка кросс-кластерного хранилища отозванных сертификатов |
tidy_expired_issuers | boolean | нет | Очистка истекших издателей |
tidy_move_legacy_ca_bundle | boolean | нет | |
tidy_revocation_queue | boolean | нет | |
tidy_revoked_cert_issuer_associations | boolean | нет | Очистка ассоциаций отозванных сертификатов и их издателей |
tidy_revoked_certs | boolean | нет | Очистка отозванных сертификатов |
time_finished | string | нет | Время завершения операции |
time_started | string | нет | Время начала операции |
total_acme_account_count | integer | нет | Общее количество пройденных аккаунтов acme |
GET /{pki_mount_path}/tidy-status
ID операции: pki-tidy-status
Возвращает статус операции tidy.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_deleted_count | integer | нет | Количество удалённых отозванных аккаунтов acme |
acme_account_revoked_count | integer | нет | Количество отозванных неиспользуемых аккаунтов acme |
acme_account_safety_buffer | integer | нет | Буфер безопасности после создания, после которого аккаунты, у которых нет заказов, будут отозваны |
acme_orders_deleted_count | integer | нет | Количество удалённых просроченных, неиспользованных заказов acme |
cert_store_deleted_count | integer | нет | Количество удаленных записей хранилища сертификатов |
cross_revoked_cert_deleted_count | integer | нет | |
current_cert_store_count | integer | нет | Количество удалённых записей отзыва сертификатов |
current_revoked_cert_count | integer | нет | Количество удалённых записей отзыва сертификатов |
error | string | нет | Сообщение об ошибке |
internal_backend_uuid | string | нет | |
issuer_safety_buffer | integer | нет | Буфер безопасности издателя |
last_auto_tidy_finished | string | нет | Время завершения последней автоматической операции очистки |
message | string | нет | Сообщение операции |
missing_issuer_cert_count | integer | нет | |
pause_duration | string | нет | Время паузы между упорядочиванием сертификатов |
revocation_queue_deleted_count | integer | нет | |
revocation_queue_safety_buffer | integer | нет | Буфер безопасности очереди отзыва |
revoked_cert_deleted_count | integer | нет | Количество удалённых записей отзыва сертификатов |
safety_buffer | integer | нет | Длительность временного буфера безопасности |
state | string | нет | Одно из: неактивен, работает, завершен или ошибка |
tidy_acme | boolean | нет | Очистка неиспользуемых аккаунтов и заказов Acme |
tidy_cert_store | boolean | нет | Запускает очистку хранилища сертификатов |
tidy_cross_cluster_revoked_certs | boolean | нет | Очистка кросс-кластерного хранилища отозванных сертификатов |
tidy_expired_issuers | boolean | нет | Очистка истекших издателей |
tidy_move_legacy_ca_bundle | boolean | нет | |
tidy_revocation_queue | boolean | нет | |
tidy_revoked_cert_issuer_associations | boolean | нет | Очистка ассоциаций отозванных сертификатов и их издателей |
tidy_revoked_certs | boolean | нет | Очистка отозванных сертификатов |
time_finished | string | нет | Время завершения операции |
time_started | string | нет | Время начала операции |
total_acme_account_count | integer | нет | Общее количество пройденных аккаунтов acme |
GET /{pki_mount_path}/unified-crl
ID операции: pki-read-unified-crl-der
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{pki_mount_path}/unified-crl/delta
ID операции: pki-read-unified-crl-delta
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{pki_mount_path}/unified-crl/delta/pem
ID операции: pki-read-unified-crl-delta-pem
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{pki_mount_path}/unified-crl/pem
ID операции: pki-read-unified-crl-pem
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/unified-ocsp
ID операции: pki-query-unified-ocsp
Запрос статуса отзыва сертификата через OCSP’
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{pki_mount_path}/unified-ocsp/{req}
ID операции: pki-query-unified-ocsp-with-get-req
Запрос статуса отзыва сертификата через OCSP’
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
req | string | path | да | запрос ocsp в кодировке base-64 |
pki_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{rabbitmq_mount_path}/config/connection
ID операции: rabbit-mq-configure-connection
Настраивает URI подключения, имя пользователя и пароль для работы с RabbitMQ management HTTP API.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
rabbitmq_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
connection_uri | string | нет | URI управления RabbitMQ |
password | string | нет | Пароль предоставленного пользователя управления RabbitMQ |
password_policy | string | нет | Имя политики паролей, используемой для генерации паролей для динамических учетных данных. |
username | string | нет | Имя пользователя администратора управления RabbitMQ |
username_template | string | нет | Шаблон, описывающий, как генерируются динамические имена пользователей. |
verify_connection | boolean (default: True) | нет | Если установлено, connection_uri проверяется путем фактического подключения к API управления RabbitMQ. |
Ответы
200: OK
GET /{rabbitmq_mount_path}/config/lease
ID операции: rabbit-mq-read-lease-configuration
Настройка параметров аренды для сгенерированных учетных данных
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
rabbitmq_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{rabbitmq_mount_path}/config/lease
ID операции: rabbit-mq-configure-lease
Настройка параметров аренды для сгенерированных учетных данных
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
rabbitmq_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
max_ttl | integer (default: 0) | нет | Срок, по истечении которого выданные учетные данные не должны быть возобновлены |
ttl | integer (default: 0) | нет | Срок, до которого необходимо обновить выданные учетные данные |
Ответы
200: OK
GET /{rabbitmq_mount_path}/creds/{name}
ID операции: rabbit-mq-request-credentials
Запросите учетные данные RabbitMQ для определенной роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
rabbitmq_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{rabbitmq_mount_path}/roles
ID операции: rabbit-mq-list-roles
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
rabbitmq_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{rabbitmq_mount_path}/roles/{name}
ID операции: rabbit-mq-read-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
rabbitmq_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{rabbitmq_mount_path}/roles/{name}
ID операции: rabbit-mq-write-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
rabbitmq_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
tags | string | нет | Список тегов для этой роли, разделенный запятыми. |
vhost_topics | string | нет | Вложенная карта виртуальных хостов и обменов с правами доступа к темам. |
vhosts | string | нет | Карта виртуальных хостов для разрешений. |
Ответы
200: OK
DELETE /{rabbitmq_mount_path}/roles/{name}
ID операции: rabbit-mq-delete-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
rabbitmq_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{ssh_mount_path}/config/ca
ID операции: ssh-read-ca-configuration
Установите SSH-ключ, используемый для подписи сертификатов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ssh_mount_path}/config/ca
ID операции: ssh-configure-ca
Установите SSH-ключ, используемый для подписи сертификатов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
generate_signing_key | boolean (default: True) | нет | Генерируйте пару ключей SSH самостоятельно, а не используйте поля private_key и public_key. |
key_bits | integer (default: 0) | нет | Указывает желаемые биты ключа при генерации ключей переменной длины (например, при key_type=“ssh-rsa”) или P-кривую NIST, которую следует использовать при key_type=“ec” (256, 384 или 521). |
key_type | string (default: ssh-rsa) | нет | Указывает желаемый тип ключа при генерации; может быть идентификатором типа ключа OpenSSH (ssh-rsa, ecdsa-sha2-nistp256, ecdsa-sha2-nistp384, ecdsa-sha2-nistp521 или ssh-ed25519) или алгоритмом (rsa, ec, ed25519). |
managed_key_id | string | нет | Идентификатор управляемого ключа для использования. При использовании управляемого ключа это поле или managed_key_name является обязательным. |
managed_key_name | string | нет | Имя управляемого ключа для использования. При использовании управляемого ключа это поле или managed_key_id является обязательным. |
private_key | string | нет | Приватная половина SSH-ключа, который будет использоваться для подписи сертификатов. |
public_key | string | нет | Публичная половина SSH-ключа, который будет использоваться для подписи сертификатов. |
Ответы
200: OK
DELETE /{ssh_mount_path}/config/ca
ID операции: ssh-delete-ca-configuration
Установите SSH-ключ, используемый для подписи сертификатов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{ssh_mount_path}/config/zeroaddress
ID операции: ssh-read-zero-address-configuration
Назначает нулевой адрес в качестве блока CIDR по умолчанию для выбранных ролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ssh_mount_path}/config/zeroaddress
ID операции: ssh-configure-zero-address
Назначает нулевой адрес в качестве блока CIDR по умолчанию для выбранных ролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
roles | array | нет | [Обязательный] Список имен ролей, разделенных запятыми, который позволяет запрашивать учетные данные для любого IP-адреса. Блоки CIDR, ранее зарегистрированные под этими ролями, будут игнорироваться. |
Ответы
200: OK
DELETE /{ssh_mount_path}/config/zeroaddress
ID операции: ssh-delete-zero-address-configuration
Назначает нулевой адрес в качестве блока CIDR по умолчанию для выбранных ролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{ssh_mount_path}/creds/{role}
ID операции: ssh-generate-credentials
Создает учетные данные для установления SSH соединения с удаленным хостом.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | [Обязательный] Имя роли |
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ip | string | нет | [Обязательный] IP-адрес удаленного узла |
username | string | нет | [Необязательно] Имя пользователя на удаленном хосте |
Ответы
200: OK
POST /{ssh_mount_path}/issue/{role}
ID операции: ssh-issue-certificate
Запросите сертификат, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | Желаемая роль с конфигурацией для данного запроса. |
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cert_type | string (default: user) | нет | Тип создаваемого сертификата; либо “пользователь”, либо “хост”. |
critical_options | object | нет | Критические параметры, для которых должен быть подписан сертификат. |
extensions | object | нет | Расширения, для которых должен быть подписан сертификат. |
key_bits | integer (default: 0) | нет | Указывает количество бит, используемых для генерируемых ключей. |
key_id | string | нет | Идентификатор ключа, который должен быть у создаваемого сертификата. Если он не указан, будет использоваться отображаемое имя токена. |
key_type | string (default: rsa) | нет | Указывает желаемый тип ключа; должен быть rsa, ed25519 или ec. |
ttl | integer | нет | Запрашиваемое время жизни для сертификата SSH; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть позже, чем максимальный TTL роли. |
valid_principals | string | нет | Действительные принципалы, либо имена пользователей, либо имена хостов, для которых должен быть подписан сертификат. |
Ответы
200: OK
POST /{ssh_mount_path}/lookup
ID операции: ssh-list-roles-by-ip
Отображает список всех ролей, связанных с данным IP-адресом.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ip | string | нет | [Обязательный] IP-адрес удаленного узла |
Ответы
200: OK
GET /{ssh_mount_path}/public_key
ID операции: ssh-read-public-key
Получает открытый ключ.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{ssh_mount_path}/roles
ID операции: ssh-list-roles
Управление “ролями”, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{ssh_mount_path}/roles/{role}
ID операции: ssh-read-role
Управление “ролями”, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | [Обязательный для всех типов] Имя создаваемой роли. |
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ssh_mount_path}/roles/{role}
ID операции: ssh-write-role
Управление “ролями”, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | [Обязательный для всех типов] Имя создаваемой роли. |
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm_signer | string (, default, ssh-rsa, rsa-sha2-256, rsa-sha2-512) | нет | [Неприменимо для типа OTP] [Необязательно для типа CA] При указании этого значения задается алгоритм подписи для ключа. Возможные значения: ssh-rsa, rsa-sha2-256, rsa-sha2-512, default или пустая строка. |
allow_bare_domains | boolean | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, запрашиваемым сертификатам хоста разрешается использовать базовые домены, перечисленные в “allowed_domains”, например “example.com”. Это отдельная опция, поскольку в некоторых случаях это может рассматриваться как угроза безопасности. |
allow_empty_principals | boolean | нет | [Необязательно для типа CA] Если true, сертификаты хоста и пользователя могут быть выданы без каких-либо допустимых принципов. Для сертификатов хоста это означает, что любой домен, который хост утверждает, будет доверен клиентом, подключающимся к нему. Для сертификатов пользователя, когда сертификат CA помещается в файл AuthorizedKeys пользователя, любой принцип на этом сертификате будет разрешен для подключения. Когда allowed_users или allowed_domains установлены на * (соответствующие типу роли/сертификата), allow_empty_principals=false все равно разрешает выдачу. Рекомендуется оставить этот параметр отключенным. |
allow_host_certificates | boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, сертификаты разрешено подписывать для использования в качестве “хоста”. |
allow_subdomains | boolean | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, запрашиваемым сертификатам хоста разрешается использовать поддомены из списка “allowed_domains”. |
allow_user_certificates | boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, сертификаты разрешено подписывать для использования в качестве “пользователя”. |
allow_user_key_ids | boolean | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если true, пользователи могут переопределить идентификатор ключа для подписанного сертификата с помощью поля “key_id”. Если значение false, идентификатором ключа всегда будет отображаемое имя токена. Идентификатор ключа записывается в журнал на сервере SSH и может быть полезен для аудита. |
allowed_critical_options | string | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Список критических опций, которые могут быть у сертификатов при подписании, разделенный запятыми. Чтобы разрешить любые критические параметры, установите это значение в пустую строку. |
allowed_domains | string | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если этот параметр не указан, клиент может запросить подписанный сертификат для любого действительного хоста. Если разрешены только определенные домены, то этот список обеспечивает это. |
allowed_domains_template | boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, разрешенные домены могут быть указаны с помощью политик шаблонов идентификации. Домены без шаблонов также разрешены. |
allowed_extensions | string | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Список расширений, которые могут быть у сертификатов при подписании, разделенный запятыми. Пустой список означает, что конечный пользователь не может переопределять расширения; явно укажите ‘*’, чтобы разрешить установку любых расширений. |
allowed_user_key_lengths | object | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, позволяет использовать типы ключей и минимальные размеры ключей для подписи. |
allowed_users | string | нет | [Необязательно для всех типов] [Работает по-разному для типа CA] Если этот параметр не указан или имеет значение ‘’, клиент может запросить учетные данные для любого действительного пользователя на удаленном узле, включая пользователя admin. Если должны быть разрешены только определенные имена пользователей, то этот список обеспечит это. Если это поле установлено, то учетные данные могут быть созданы только для default_user и имен пользователей, присутствующих в этом списке. Установка этого параметра позволит всем пользователям с доступом к этой роли получать учетные данные для всех остальных имен пользователей в этом списке. Используйте с осторожностью. N.B.: для типа CA пустой список означает, что ни один пользователь не разрешен; укажите ‘’, чтобы разрешить любого пользователя. |
allowed_users_template | boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, разрешенные пользователи могут быть указаны с помощью политик шаблонов идентификации. Пользователи без шаблонов также разрешены. |
cidr_list | string | нет | [Необязательно для типа OTP] [Не применимо для типа CA] Список блоков CIDR, для которых применима роль, разделенный запятыми. Блоки CIDR могут принадлежать более чем одной роли. |
default_critical_options | object | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Критические параметры, которыми должны обладать сертификаты, если при подписании они не были предоставлены. Это поле принимает пары ключ-значение в формате JSON. Обратите внимание, что они не ограничены параметром “allowed_critical_options”. По умолчанию - нет. |
default_extensions | object | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Расширения, которые должны быть у сертификатов, если они не были предоставлены при подписании. Это поле принимает пары ключ-значение в формате JSON. Обратите внимание, что они не ограничены параметром “allowed_extensions”. По умолчанию - нет. |
default_extensions_template | boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, значения расширения по умолчанию могут быть указаны с помощью политик шаблонов идентификации. Также допускается использование нешаблонных значений расширения. |
default_user | string | нет | [Обязательно для типа OTP] [Необязательно для типа CA] Имя пользователя по умолчанию, для которого будет сгенерирован мандат. Если метод ‘creds/’ используется без имени пользователя, это значение будет использоваться в качестве имени пользователя по умолчанию. |
default_user_template | boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, пользователь по умолчанию может быть указан с помощью политик шаблонов идентификации. Пользователи без шаблонов также разрешены. |
exclude_cidr_list | string | нет | [Необязательно для типа OTP] [Не применимо для типа CA] Список блоков CIDR, разделенных запятыми. IP-адреса, принадлежащие этим блокам, не принимаются ролью. Это особенно полезно, когда роль использует большие блоки CIDR и некоторые их части должны быть закрыты. |
key_id_format | string | нет | [Неприменимо для типа OTP] [Необязательно для типа CA] При указании этого значения задается пользовательский формат идентификатора ключа подписанного сертификата. Для использования доступны следующие переменные: ‘{{token_display_name}}’ - Отображаемое имя токена, используемого для выполнения запроса. ‘{{role_name}}’ - Имя роли, подписывающей запрос. ‘{{public_key_hash}}’ - Контрольная сумма SHA256 открытого ключа, который подписывается. |
key_type | string (otp, ca) | нет | [Обязательный для всех типов] Тип ключа, используемого для входа на хосты. Он может быть либо ‘otp’, либо ‘ca’. Тип ‘otp’ требует установки агента на удаленных хостах. |
max_ttl | integer | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Максимально допустимая продолжительность аренды |
not_before_duration | integer (default: 30) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Продолжительность, на которую должен быть отсрочен сертификат SSH при выпуске. |
port | integer | нет | [Необязательно для типа OTP] [Не применимо для типа CA] Номер порта для SSH-соединения. По умолчанию - ‘22’. Номер порта не играет никакой роли при создании OTP. Для типа ‘otp’ это просто способ сообщить клиенту номер порта, который необходимо использовать. Номер порта будет возвращен клиенту сервером Vault вместе с OTP. |
ttl | integer | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Продолжительность аренды, если не запрашивается конкретная продолжительность аренды. Продолжительность аренды контролирует истечение срока действия сертификатов, выпущенных этим бэкэндом. По умолчанию соответствует значению max_ttl. |
Ответы
200: OK
DELETE /{ssh_mount_path}/roles/{role}
ID операции: ssh-delete-role
Управление “ролями”, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | [Обязательный для всех типов] Имя создаваемой роли. |
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{ssh_mount_path}/sign/{role}
ID операции: ssh-sign-certificate
Запросите подпись SSH-ключа с использованием определенной роли с предоставленными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role | string | path | да | Желаемая роль с конфигурацией для данного запроса. |
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cert_type | string (default: user) | нет | Тип создаваемого сертификата; либо “пользователь”, либо “хост”. |
critical_options | object | нет | Критические параметры, для которых должен быть подписан сертификат. |
extensions | object | нет | Расширения, для которых должен быть подписан сертификат. |
key_id | string | нет | Идентификатор ключа, который должен быть у создаваемого сертификата. Если он не указан, будет использоваться отображаемое имя токена. |
public_key | string | нет | Открытый ключ SSH, который должен быть подписан. |
ttl | integer | нет | Запрашиваемое время жизни для сертификата SSH; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть позже, чем максимальный TTL роли. |
valid_principals | string | нет | Действительные принципалы, либо имена пользователей, либо имена хостов, для которых должен быть подписан сертификат. |
Ответы
200: OK
DELETE /{ssh_mount_path}/tidy/dynamic-keys
ID операции: ssh-tidy-dynamic-host-keys
Обращение к этому методу удаляет сохраненные хост-ключи, используемые для удаленной функции динамического ключа, если они присутствуют.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{ssh_mount_path}/verify
ID операции: ssh-verify-otp
Проверить OTP, предоставленный агентом SSH Vault.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
otp | string | нет | [Обязательный] Одноразовый ключ, который необходимо подтвердить |
Ответы
200: OK
GET /{totp_mount_path}/code/{name}
ID операции: totp-generate-code
Запрос одноразового пароля на основе времени или проверка пароля для определенного ключа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название ключа. |
totp_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{totp_mount_path}/code/{name}
ID операции: totp-validate-code
Запрос одноразового пароля на основе времени или проверка пароля для определенного ключа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название ключа. |
totp_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
code | string | нет | Код TOTP должен быть подтвержден. |
Ответы
200: OK
GET /{totp_mount_path}/keys
ID операции: totp-list-keys
Управление ключами, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
totp_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{totp_mount_path}/keys/{name}
ID операции: totp-read-key
Управление ключами, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название ключа. |
totp_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string | query | нет | Возвращает список, если true. |
Ответы
200: OK
POST /{totp_mount_path}/keys/{name}
ID операции: totp-create-key
Управление ключами, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название ключа. |
totp_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
account_name | string | нет | Имя учетной записи, связанной с ключом. Требуется, если значение generate равно true. |
algorithm | string (default: SHA1) | нет | Алгоритм хэширования, используемый для генерации токена TOTP. Варианты включают SHA1, SHA256 и SHA512. |
digits | integer (default: 6) | нет | Количество цифр в генерируемом TOTP-токене. Это значение может быть либо 6, либо 8. |
exported | boolean (default: True) | нет | Определяет, возвращать ли QR-код и url при генерации ключа. Используется только в том случае, если значение generate равно true. |
generate | boolean (default: False) | нет | Определяет, должен ли ключ быть сгенерирован Vault или ключ передается из другого сервиса. |
issuer | string | нет | Имя организации, выдавшей ключ. Требуется, если значение generate равно true. |
key | string | нет | Общий мастер-ключ, используемый для генерации токена TOTP. Используется только в том случае, если значение generate равно false. |
key_size | integer (default: 20) | нет | Определяет размер в байтах генерируемого ключа. Используется только в том случае, если generate равно true. |
period | integer (default: 30) | нет | Длительность времени, используемого для генерации счетчика для расчета токена TOTP. |
qr_size | integer (default: 200) | нет | Размер в пикселях сгенерированного квадратного QR-кода. Используется только в том случае, если generate - true и exported - true. Если это значение равно 0, QR-код не будет возвращен. |
skew | integer (default: 1) | нет | Количество периодов задержки, допустимых при проверке токена TOTP. Это значение может быть либо 0, либо 1. Используется только в том случае, если значение generate равно true. |
url | string | нет | Строка TOTP url, содержащая все параметры для настройки ключа. Используется только в том случае, если значение generate равно false. |
Ответы
200: OK
DELETE /{totp_mount_path}/keys/{name}
ID операции: totp-delete-key
Управление ключами, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название ключа. |
totp_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{transit_mount_path}/backup/{name}
ID операции: transit-back-up-key
Резервное копирование именованного ключа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя ключа |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{transit_mount_path}/byok-export/{destination}/{source}
ID операции: transit-byok-key
Безопасный экспорт именованного ключа шифрования или подписи
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
destination | string | path | да | Ключ назначения для экспорта; обычно это открытый ключ обертки другого экземпляра Transit. |
source | string | path | да | Исходный ключ для экспорта; это может быть любой присутствующий ключ в Transit. |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{transit_mount_path}/byok-export/{destination}/{source}/{version}
ID операции: transit-byok-key-version
Безопасный экспорт именованного ключа шифрования или подписи
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
destination | string | path | да | Ключ назначения для экспорта; обычно это открытый ключ обертки другого экземпляра Transit. |
source | string | path | да | Исходный ключ для экспорта; это может быть любой присутствующий ключ в Transit. |
version | string | path | да | Необязательная версия ключа для экспорта, в противном случае экспортируются все версии ключа. |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{transit_mount_path}/cache-config
ID операции: transit-read-cache-configuration
Возвращает размер активного кэша
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{transit_mount_path}/cache-config
ID операции: transit-configure-cache
Настраивает новый кэш указанного размера
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
size | integer (default: 0) | нет | Размер кэша, используйте 0 для неограниченного размера кэша, по умолчанию 0 |
Ответы
200: OK
GET /{transit_mount_path}/config/keys
ID операции: transit-read-keys-configuration
Конфигурация, общая для всех ключей
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{transit_mount_path}/config/keys
ID операции: transit-configure-keys
Конфигурация, общая для всех ключей
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disable_upsert | boolean | нет | Разрешить ли автоматическую установку (создание) ключей. |
Ответы
200: OK
POST /{transit_mount_path}/datakey/{plaintext}/{name}
ID операции: transit-generate-data-key
Создает ключ данных
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Ключ бэкэнда, используемый для шифрования данных |
plaintext | string | path | да | “plaintext” вернет ключ как в открытом, так и в зашифрованном виде; “wrapped” вернет только зашифрованный текст. |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bits | integer (default: 256) | нет | Количество бит для ключа; в настоящее время поддерживаются 128, 256 и 512 бит. По умолчанию используется значение 256. |
context | string | нет | Контекст для выведения ключей. Требуется для производных ключей. |
key_version | integer | нет | Версия ключа Vault, которую следует использовать для шифрования ключа данных. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа. |
nonce | string | нет | Нонс для использования конвергентного шифрования v1 (только в Vault 0.6.1) |
Ответы
200: OK
POST /{transit_mount_path}/decrypt/{name}
ID операции: transit-decrypt
Расшифруйте значение шифротекста с помощью именованного ключа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя ключа |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
associated_data | string | нет | При использовании режима шифрования AEAD, например AES-GCM, этот параметр позволяет передавать связанные данные (AD/AAD) в функцию шифрования; эти данные должны передаваться при последующих запросах на дешифрование, но могут передаваться в открытом виде. При успешном расшифровании и шифротекст, и ассоциированные данные подтверждаются, что они не были подделаны. |
batch_input | array | нет | Указывает список элементов, которые должны быть расшифрованы в одной партии. При задании этого параметра, если параметры ‘ciphertext’, ‘context’ и ’nonce’ также заданы, они будут проигнорированы. Любой пакетный вывод будет сохранять порядок ввода пакета. |
ciphertext | string | нет | Шифротекст для расшифровки, который возвращается командой encrypt. |
context | string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена. |
nonce | string | нет | Закодированное в Base64 значение nonce, используемое при шифровании. Должно быть указано, если для этого ключа включено конвергентное шифрование и ключ был создан в Vault 0.6.1. Не требуется для ключей, созданных в версии 0.6.2+. |
partial_failure_response_code | integer | нет | Обычно, если пакетный элемент не удается расшифровать из-за плохого ввода, но другие пакетные элементы работают успешно, код ответа HTTP равен 400 (плохой запрос). Некоторые приложения могут захотеть обрабатывать частичные сбои по-другому. В этом случае при указании параметра вместо 400 возвращается целое число с заданным кодом ответа. Если все значения не сработали, все равно возвращается HTTP 400. |
Ответы
200: OK
POST /{transit_mount_path}/encrypt/{name}
ID операции: transit-encrypt
Зашифруйте значение открытого текста или пакет блоков открытого текста блоков с помощью именованного ключа
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя ключа |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
associated_data | string | нет | При использовании режима шифрования AEAD, например AES-GCM, этот параметр позволяет передавать связанные данные (AD/AAD) в функцию шифрования; эти данные должны передаваться при последующих запросах на дешифрование, но могут передаваться в открытом виде. При успешном расшифровании и шифротекст, и ассоциированные данные подтверждаются, что они не были подделаны. |
batch_input | array | нет | Указывает список элементов, которые должны быть зашифрованы в одном пакете. При задании этого параметра, если параметры ‘plaintext’, ‘context’ и ’nonce’ также заданы, они будут проигнорированы. Любой пакетный вывод будет сохранять порядок ввода пакета. |
context | string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена |
convergent_encryption | boolean | нет | Этот параметр будет использоваться только в том случае, если предполагается создание ключа. Поддерживать ли конвергентное шифрование. Поддерживается только при использовании ключа с включенной функцией деривации ключа и требует, чтобы все запросы содержали контекст и 96-битный (12-байтный) nonce. Данный нонс будет использоваться вместо случайно сгенерированного нонса. В результате, при предоставлении одинакового контекста и nonce будет сгенерирован один и тот же шифртекст. При использовании этого режима очень важно убедиться, что все несы уникальны для данного контекста. В противном случае безопасность шифротекста будет сильно снижена. |
key_version | integer | нет | Версия ключа, используемая для шифрования. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа. |
nonce | string | нет | Закодированное в Base64 значение nonce. Должно быть предоставлено, если для этого ключа включено конвергентное шифрование и ключ был создан с помощью Vault 0.6.1. Не требуется для ключей, созданных в версии 0.6.2+. Значение должно иметь длину ровно 96 бит (12 байт), и пользователь должен убедиться, что для любого заданного контекста (и, следовательно, для любого заданного ключа шифрования) это значение nonce *никогда не используется повторно*. |
partial_failure_response_code | integer | нет | Обычно, если пакетный элемент не удается зашифровать из-за плохого ввода, но другие пакетные элементы работают успешно, код ответа HTTP равен 400 (плохой запрос). Некоторые приложения могут захотеть обрабатывать частичные сбои по-другому. В этом случае при указании параметра вместо 400 возвращается целое число с заданным кодом ответа. Если все значения не сработали, все равно возвращается HTTP 400. |
plaintext | string | нет | Зашифрованное в Base64 значение открытого текста для шифрования |
type | string (default: aes256-gcm96) | нет | Этот параметр необходим, если предполагается создать ключ шифрования. При выполнении операции upsert - тип создаваемого ключа. В настоящее время поддерживаются только типы “aes128-gcm96” (симметричный) и “aes256-gcm96” (симметричный). По умолчанию используется “aes256-gcm96”. |
Ответы
200: OK
GET /{transit_mount_path}/export/{type}/{name}
ID операции: transit-export-key
Экспорт именованного ключа шифрования или подписи
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя ключа |
type | string | path | да | Тип ключа для экспорта (ключ шифрования, ключ подписи, hmac-ключ, открытый ключ) |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{transit_mount_path}/export/{type}/{name}/{version}
ID операции: transit-export-key-version
Экспорт именованного ключа шифрования или подписи
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя ключа |
type | string | path | да | Тип ключа для экспорта (ключ шифрования, ключ подписи, hmac-ключ, открытый ключ) |
version | string | path | да | Версия ключа |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{transit_mount_path}/hash
ID операции: transit-hash
Создает хеш-сумму для входных данных
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm | string (default: sha2-256) | нет | Алгоритм для использования (параметр POST тела запроса). Допустимые значения: sha2-224 sha2-256 sha2-384 sha2-512 sha3-224 sha3-256 sha3-384 sha3-512 streebog-256 streebog-512 По умолчанию установлено значение “sha2-256”. |
format | string (default: hex) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “hex”. |
input | string | нет | Входные данные в кодировке base64 |
urlalgorithm | string | нет | Используемый алгоритм (параметр POST URL) |
Ответы
200: OK
POST /{transit_mount_path}/hash/{urlalgorithm}
ID операции: transit-hash-with-algorithm
Создает хеш-сумму для входных данных
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
urlalgorithm | string | path | да | Используемый алгоритм (параметр POST URL) |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm | string (default: sha2-256) | нет | Алгоритм для использования (параметр POST тела запроса). Допустимые значения: sha2-224 sha2-256 sha2-384 sha2-512 sha3-224 sha3-256 sha3-384 sha3-512 streebog-256 streebog-512 По умолчанию установлено значение “sha2-256”. |
format | string (default: hex) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “hex”. |
input | string | нет | Входные данные в кодировке base64 |
Ответы
200: OK
POST /{transit_mount_path}/hmac/{name}
ID операции: transit-generate-hmac
Создает HMAC для входных данных, используя именованный ключ
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Ключ, используемый для функции HMAC |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm | string (default: sha2-256) | нет | Алгоритм для использования (параметр POST тела запроса). Допустимые значения: sha2-224 sha2-256 sha2-384 sha2-512 sha3-224 sha3-256 sha3-384 sha3-512 streebog-256 streebog-512 По умолчанию установлено значение “sha2-256”. |
batch_input | array | нет | Задает список элементов, которые будут обрабатываться в одной партии. При задании этого параметра, если параметр ‘input’ также задан, он будет проигнорирован. При выводе любой партии сохраняется порядок ввода партии. |
input | string | нет | Входные данные в кодировке base64 |
key_version | integer | нет | Версия ключа, используемая для генерации HMAC. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа. |
urlalgorithm | string | нет | Используемый алгоритм (параметр POST URL) |
Ответы
200: OK
POST /{transit_mount_path}/hmac/{name}/{urlalgorithm}
ID операции: transit-generate-hmac-with-algorithm
Создает HMAC для входных данных, используя именованный ключ
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Ключ, используемый для функции HMAC |
urlalgorithm | string | path | да | Используемый алгоритм (параметр POST URL) |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm | string (default: sha2-256) | нет | Алгоритм для использования (параметр POST тела запроса). Допустимые значения: sha2-224 sha2-256 sha2-384 sha2-512 sha3-224 sha3-256 sha3-384 sha3-512 streebog-256 streebog-512 По умолчанию установлено значение “sha2-256”. |
batch_input | array | нет | Задает список элементов, которые будут обрабатываться в одной партии. При задании этого параметра, если параметр ‘input’ также задан, он будет проигнорирован. При выводе любой партии сохраняется порядок ввода партии. |
input | string | нет | Входные данные в кодировке base64 |
key_version | integer | нет | Версия ключа, используемая для генерации HMAC. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа. |
Ответы
200: OK
GET /{transit_mount_path}/keys
ID операции: transit-list-keys
Управляемые именованные ключи шифрования
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{transit_mount_path}/keys/{name}
ID операции: transit-read-key
Управляемые именованные ключи шифрования
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя ключа |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{transit_mount_path}/keys/{name}
ID операции: transit-create-key
Управляемые именованные ключи шифрования
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя ключа |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_plaintext_backup | boolean | нет | Включает создание резервной копии именованного ключа в формате открытого текста. После установки этот параметр нельзя отключить. |
auto_rotate_period | integer (default: 0) | нет | Количество времени, которое ключ должен прожить перед автоматическим поворотом. Значение 0 (по умолчанию) отключает автоматический поворот ключа. |
context | string | нет | Закодированный в Base64 контекст для деривации ключа. При чтении ключа с включенной деривацией ключей, если тип ключа поддерживает открытые ключи, это вернет открытый ключ для данного контекста. |
convergent_encryption | boolean | нет | Поддерживать ли конвергентное шифрование. Поддерживается только при использовании ключа с включенной функцией деривации ключа и требует, чтобы все запросы содержали контекст и 96-битный (12-байтный) nonce. Указанный нонс будет использоваться вместо случайно сгенерированного нонса. В результате, при предоставлении одинакового контекста и nonce будет сгенерирован один и тот же шифртекст. При использовании этого режима очень важно убедиться, что все несы уникальны для данного контекста. В противном случае безопасность шифротекста будет сильно снижена. |
derived | boolean | нет | Включает режим выведения ключей. Это позволяет использовать уникальные ключи для операций шифрования на каждую транзакцию. |
exportable | boolean | нет | Включает возможность экспорта ключей. Это позволяет экспортировать все действующие ключи в связке ключей. |
key_size | integer (default: 0) | нет | Размер ключа в байтах для данного алгоритма. Применяется только для HMAC и должен быть не менее 32 и не более 512 байт. |
managed_key_id | string | нет | UUID управляемого ключа, который следует использовать для этого транзитного ключа |
managed_key_name | string | нет | Имя управляемого ключа, используемого для этого транзитного ключа |
type | string (default: aes256-gcm96) | нет | Тип ключа для создания. В настоящее время “aes128-gcm96” (симметричный), “aes256-gcm96” (симметричный), “ecdsa-p256” (асимметричный), “ecdsa-p384” (асимметричный), “ecdsa-p521” (асимметричный), “ed25519” (асимметричный), “rsa-2048” (асимметричный), “rsa-3072” (асимметричный), “rsa-4096” (асимметричный), “gost28147” (симметричный), “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c”, “gost341264” (симметричный), “gost3412128” (симметричный) поддерживаются. По умолчанию установлено значение “aes256-gcm96”. |
Ответы
200: OK
DELETE /{transit_mount_path}/keys/{name}
ID операции: transit-delete-key
Управляемые именованные ключи шифрования
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя ключа |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{transit_mount_path}/keys/{name}/config
ID операции: transit-configure-key
Настройка именованного ключа шифрования
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя ключа |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_plaintext_backup | boolean | нет | Включает создание резервной копии именованного ключа в формате открытого текста. После установки этот параметр нельзя отключить. |
auto_rotate_period | integer | нет | Количество времени, которое ключ должен прожить перед автоматическим поворотом. Значение 0 отключает автоматический поворот ключа. |
deletion_allowed | boolean | нет | Разрешить ли удаление ключа |
exportable | boolean | нет | Включает экспорт ключа. После установки этот параметр нельзя отключить. |
min_decryption_version | integer | нет | Если установлено, минимальная версия ключа, разрешенная для расшифровки. Для ключей подписи - минимальная версия, которую разрешено использовать для проверки. |
min_encryption_version | integer | нет | Если установлено, минимальная версия ключа, которую разрешено использовать для шифрования; или для ключей подписи - для подписи. Если установлено значение ноль, разрешается использовать только последнюю версию ключа. |
Ответы
200: OK
POST /{transit_mount_path}/keys/{name}/import
ID операции: transit-import-key
Импортирует сгенерированный извне ключ в новый транзитный ключ
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя ключа |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_plaintext_backup | boolean | нет | Включает создание резервной копии именованного ключа в формате открытого текста. После установки этот параметр нельзя отключить. |
allow_rotation | boolean | нет | True, если импортированный ключ может быть повернут в Vault; false в противном случае. |
auto_rotate_period | integer (default: 0) | нет | Количество времени, которое ключ должен прожить перед автоматическим поворотом. Значение 0 (по умолчанию) отключает автоматический поворот ключа. |
ciphertext | string | нет | Шифротекст ключей в base64-кодировке. Ключ AES должен быть зашифрован с помощью OAEP с помощью ключа-обертки, а затем конкатенирован с ключом импорта, обернутым ключом AES. |
context | string | нет | Закодированный в Base64 контекст для деривации ключа. При чтении ключа с включенной деривацией ключей, если тип ключа поддерживает открытые ключи, это вернет открытый ключ для данного контекста. |
derived | boolean | нет | Включает режим выведения ключей. Это позволяет использовать уникальные ключи для операций шифрования на каждую транзакцию. |
exportable | boolean | нет | Включает возможность экспорта ключей. Это позволяет экспортировать все действующие ключи в связке ключей. |
hash_function | string (default: SHA256) | нет | Хэш-функция, используемая в качестве случайного оракула в OAEP для обертывания эфемерного ключа AES, созданного пользователем. Может быть одной из “SHA1”, “SHA224”, “SHA256” (по умолчанию), “SHA384” или “SHA512”. |
public_key | string | нет | Открытый ключ PEM в открытом тексте, который будет импортирован. Если установлено значение “ciphertext”, это поле игнорируется. |
type | string (default: aes256-gcm96) | нет | Тип ключа для импорта. В настоящее время “aes128-gcm96” (симметричный), “aes256-gcm96” (симметричный), “ecdsa-p256” (асимметричный), “ecdsa-p384” (асимметричный), “ecdsa-p521” (асимметричный), “ed25519” (асимметричный), “rsa-2048” (асимметричный), “rsa-3072” (асимметричный), “rsa-4096” (асимметричный), “gost28147” (симметричный), “gost3410-256-paramset-a”, “gost3410-256-paramset-b”, “gost3410-256-paramset-c”, “gost3410-256-paramset-d”, “gost3410-512-paramset-a”, “gost3410-512-paramset-b”, “gost3410-512-paramset-c”, “gost341264” (симметричный), “gost3412128” (симметричный) поддерживаются. По умолчанию установлено значение “aes256-gcm96”. |
Ответы
200: OK
POST /{transit_mount_path}/keys/{name}/import_version
ID операции: transit-import-key-version
Импортирует сгенерированный извне ключ в существующий импортированный ключ
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя ключа |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ciphertext | string | нет | Шифротекст ключей в base64-кодировке. Ключ AES должен быть зашифрован с помощью OAEP с помощью ключа-обертки, а затем конкатенирован с ключом импорта, обернутым ключом AES. |
hash_function | string (default: SHA256) | нет | Хэш-функция, используемая в качестве случайного оракула в OAEP для обертывания эфемерного ключа AES, созданного пользователем. Может быть одной из “SHA1”, “SHA224”, “SHA256” (по умолчанию), “SHA384” или “SHA512”. |
public_key | string | нет | Открытый ключ с открытым текстом, который будет импортирован. Если установлено значение “ciphertext”, это поле игнорируется. |
version | integer | нет | Версия ключа для обновления; если оставить пустым, будет создана новая версия, если только не указан закрытый ключ, а для ключа ‘Latest’ закрытый ключ отсутствует. |
Ответы
200: OK
POST /{transit_mount_path}/keys/{name}/rotate
ID операции: transit-rotate-key
Поворот именованного ключа шифрования
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя ключа |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
managed_key_id | string | нет | UUID управляемого ключа, который следует использовать для новой версии этого транзитного ключа. |
managed_key_name | string | нет | Имя управляемого ключа, который следует использовать для новой версии этого транзитного ключа |
Ответы
200: OK
POST /{transit_mount_path}/keys/{name}/trim
ID операции: transit-trim-key
Обрезать версии ключей для именованного ключа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя ключа |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
min_available_version | integer | нет | Минимальная доступная версия для брелока. Все версии до этой версии будут удалены безвозвратно. Это значение может быть равно меньшему из ‘min_decryption_version’ и ‘min_encryption_version’. Не разрешается устанавливать это значение, если либо ‘min_encryption_version’, либо ‘min_decryption_version’ установлены в ноль. |
Ответы
200: OK
POST /{transit_mount_path}/random
ID операции: transit-generate-random
Генерирует случайные байты
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes | integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит). |
format | string (default: base64) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “base64”. |
source | string (default: platform) | нет | Из какой системы брать случайные данные: “платформа”, “печать” или “все”. |
urlbytes | string | нет | Количество байт для генерации (параметр POST URL). |
Ответы
200: OK
POST /{transit_mount_path}/random/{source}
ID операции: transit-generate-random-with-source
Генерирует случайные байты
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
source | string | path | да | Из какой системы брать случайные данные: “платформа”, “печать” или “все”. |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes | integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит). |
format | string (default: base64) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “base64”. |
urlbytes | string | нет | Количество байт для генерации (параметр POST URL). |
Ответы
200: OK
POST /{transit_mount_path}/random/{source}/{urlbytes}
ID операции: transit-generate-random-with-source-and-bytes
Генерирует случайные байты
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
source | string | path | да | Из какой системы брать случайные данные: “платформа”, “печать” или “все”. |
urlbytes | string | path | да | Количество байт для генерации (параметр POST URL). |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes | integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит). |
format | string (default: base64) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “base64”. |
Ответы
200: OK
POST /{transit_mount_path}/random/{urlbytes}
ID операции: transit-generate-random-with-bytes
Генерирует случайные байты
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
urlbytes | string | path | да | Количество байт для генерации (параметр POST URL). |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes | integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит). |
format | string (default: base64) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “base64”. |
source | string (default: platform) | нет | Из какой системы брать случайные данные: “платформа”, “печать” или “все”. |
Ответы
200: OK
POST /{transit_mount_path}/restore
ID операции: transit-restore-key
Восстановите именованный ключ
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
backup | string | нет | Резервная копия ключевых данных для восстановления. Это должен быть вывод конечной точки ‘backup/’. |
force | boolean (default: False) | нет | Если установлено, а ключ с заданным именем существует, принудительно выполните операцию восстановления и отмените ключ. |
name | string | нет | Если установлено, это будет имя восстановленного ключа. |
Ответы
200: OK
POST /{transit_mount_path}/restore/{name}
ID операции: transit-restore-and-rename-key
Восстановите именованный ключ
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Если установлено, это будет имя восстановленного ключа. |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
backup | string | нет | Резервная копия ключевых данных для восстановления. Это должен быть вывод конечной точки ‘backup/’. |
force | boolean (default: False) | нет | Если установлено, а ключ с заданным именем существует, принудительно выполните операцию восстановления и отмените ключ. |
Ответы
200: OK
POST /{transit_mount_path}/rewrap/{name}
ID операции: transit-rewrap
Ротировать шифртекст
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя ключа |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
batch_input | array | нет | Указывает список элементов, которые будут повторно зашифрованы в одном пакете. При задании этого параметра, если параметры ‘ciphertext’, ‘context’ и ’nonce’ также заданы, они будут проигнорированы. Любой пакетный вывод будет сохранять порядок ввода пакета. |
ciphertext | string | нет | Значение шифртекста для повторного обертывания |
context | string | нет | Закодированный в Base64 контекст для выведения ключа. Требуется для производных ключей. |
key_version | integer | нет | Версия ключа, используемая для шифрования. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа. |
nonce | string | нет | Nonce для использования конвергентного шифрования |
Ответы
200: OK
POST /{transit_mount_path}/sign/{name}
ID операции: transit-sign
Создание подписи для входных данных с использованием именованного ключа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Ключ к использованию |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm | string (default: sha2-256) | нет | Утрачено: Предпочтительно использовать “hash_algorithm”. |
batch_input | array | нет | Определяет список элементов для обработки. Если этот параметр задан, любые предоставленные параметры ‘input’ или ‘context’ будут проигнорированы. Ответы возвращаются в массиве ‘batch_results’ в элементе ‘data’ ответа. Любой пакетный вывод будет сохранять порядок пакетного ввода |
context | string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена; в настоящее время доступен только для ключей ed25519. |
hash_algorithm | string (default: sha2-256) | нет | Используемый алгоритм хэширования (параметр тела POST). Допустимые значения: * sha1 * sha2-224 * sha2-256 * sha2-384 * sha2-512 * sha3-224 * sha3-256 * sha3-384 * sha3-512 * none По умолчанию установлено значение “sha2-256”. Не подходит для всех типов ключей, включая ed25519. Использование none требует установки prehashed=true и signature_algorithm=pkcs1v15, что дает PKCSv1_5_NoOID вместо обычной подписи PKCSv1_5_DERnull. |
input | string | нет | Входные данные в кодировке base64 |
key_version | integer | нет | Версия ключа, которую следует использовать для подписи. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа. |
marshaling_algorithm | string (default: asn1) | нет | Метод, с помощью которого будет сортироваться подпись. По умолчанию используется ‘asn1’, который применяется в openssl и X.509. Также может быть установлено значение ‘jws’, которое используется для подписей JWT; при этом кодировка подписи будет url-safe base64 вместо стандартной base64-кодировки. В настоящее время действует только для типов ключей ECDSA P-256”. |
prehashed | boolean | нет | Устанавливается в ’true’, если входные данные уже хэшированы. Если тип ключа ‘rsa-2048’, ‘rsa-3072’ или ‘rsa-4096’, то алгоритм, используемый для хеширования входных данных, должен быть указан параметром ‘algorithm’. |
salt_length | string (default: auto) | нет | Длина соли, используемой для подписи. В настоящее время применяется только для схемы подписи RSA PSS. Варианты: ‘auto’ (по умолчанию используется в Golang, заставляя соль быть как можно больше при подписи), ‘hash’ (заставляет длину соли равняться длине хэша, используемого в подписи) или целое число между минимальной и максимальной допустимой длиной соли для данного размера ключа RSA. По умолчанию установлено значение ‘auto’. |
signature_algorithm | string | нет | Алгоритм подписи, который будет использоваться для подписания. В настоящее время применяется только для ключей типа RSA. Варианты: ‘pss’ или ‘pkcs1v15’. По умолчанию используется ‘pss’ |
urlalgorithm | string | нет | Используемый алгоритм хэширования (параметр POST URL) |
Ответы
200: OK
POST /{transit_mount_path}/sign/{name}/{urlalgorithm}
ID операции: transit-sign-with-algorithm
Создание подписи для входных данных с использованием именованного ключа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Ключ к использованию |
urlalgorithm | string | path | да | Используемый алгоритм хэширования (параметр POST URL) |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm | string (default: sha2-256) | нет | Утрачено: Предпочтительно использовать “hash_algorithm”. |
batch_input | array | нет | Определяет список элементов для обработки. Если этот параметр задан, любые предоставленные параметры ‘input’ или ‘context’ будут проигнорированы. Ответы возвращаются в массиве ‘batch_results’ в элементе ‘data’ ответа. Любой пакетный вывод будет сохранять порядок пакетного ввода |
context | string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена; в настоящее время доступен только для ключей ed25519. |
hash_algorithm | string (default: sha2-256) | нет | Используемый алгоритм хэширования (параметр тела POST). Допустимые значения: * sha1 * sha2-224 * sha2-256 * sha2-384 * sha2-512 * sha3-224 * sha3-256 * sha3-384 * sha3-512 * none По умолчанию установлено значение “sha2-256”. Не подходит для всех типов ключей, включая ed25519. Использование none требует установки prehashed=true и signature_algorithm=pkcs1v15, что дает PKCSv1_5_NoOID вместо обычной подписи PKCSv1_5_DERnull. |
input | string | нет | Входные данные в кодировке base64 |
key_version | integer | нет | Версия ключа, которую следует использовать для подписи. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа. |
marshaling_algorithm | string (default: asn1) | нет | Метод, с помощью которого будет сортироваться подпись. По умолчанию используется ‘asn1’, который применяется в openssl и X.509. Также может быть установлено значение ‘jws’, которое используется для подписей JWT; при этом кодировка подписи будет url-safe base64 вместо стандартной base64-кодировки. В настоящее время действует только для типов ключей ECDSA P-256”. |
prehashed | boolean | нет | Устанавливается в ’true’, если входные данные уже хэшированы. Если тип ключа ‘rsa-2048’, ‘rsa-3072’ или ‘rsa-4096’, то алгоритм, используемый для хеширования входных данных, должен быть указан параметром ‘algorithm’. |
salt_length | string (default: auto) | нет | Длина соли, используемой для подписи. В настоящее время применяется только для схемы подписи RSA PSS. Варианты: ‘auto’ (по умолчанию используется в Golang, заставляя соль быть как можно больше при подписи), ‘hash’ (заставляет длину соли равняться длине хэша, используемого в подписи) или целое число между минимальной и максимальной допустимой длиной соли для данного размера ключа RSA. По умолчанию установлено значение ‘auto’. |
signature_algorithm | string | нет | Алгоритм подписи, который будет использоваться для подписания. В настоящее время применяется только для ключей типа RSA. Варианты: ‘pss’ или ‘pkcs1v15’. По умолчанию используется ‘pss’ |
Ответы
200: OK
POST /{transit_mount_path}/verify/{name}
ID операции: transit-verify
Проверить подпись или HMAC для входных данных, созданных с использованием именованного ключа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Ключ к использованию |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm | string (default: sha2-256) | нет | Утрачено: Предпочтительно использовать “hash_algorithm”. |
batch_input | array | нет | Определяет список элементов для обработки. Когда этот параметр задан, все предоставленные параметры ‘input’, ‘hmac’ или ‘signature’ будут проигнорированы. Ответы возвращаются в массиве ‘batch_results’ в элементе ‘data’ ответа. Любой пакетный вывод будет сохранять порядок пакетного ввода |
context | string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена; в настоящее время доступен только для ключей ed25519. |
hash_algorithm | string (default: sha2-256) | нет | Используемый алгоритм хэширования (параметр тела POST). Допустимые значения: * sha1 * sha2-224 * sha2-256 * sha2-384 * sha2-512 * sha3-224 * sha3-256 * sha3-384 * sha3-512 * none По умолчанию установлено значение “sha2-256”. Действует не для всех типов ключей. См. примечание о none в пути подписи. |
hmac | string | нет | HMAC, включая версию заголовка/ключа хранилища |
input | string | нет | Входные данные в кодировке base64 для проверки |
marshaling_algorithm | string (default: asn1) | нет | Метод, с помощью которого следует размаривать подпись при проверке. По умолчанию используется ‘asn1’, который используется openssl и X.509; также может быть установлено значение ‘jws’, которое используется для подписей JWT, в этом случае подпись также должна быть в url-safe base64-кодировке вместо стандартной base64-кодировки. В настоящее время действует только для типов ключей ECDSA P-256”. |
prehashed | boolean | нет | Устанавливается в ’true’, если входные данные уже хэшированы. Если тип ключа ‘rsa-2048’, ‘rsa-3072’ или ‘rsa-4096’, то алгоритм, используемый для хеширования входных данных, должен быть указан параметром ‘algorithm’. |
salt_length | string (default: auto) | нет | Длина соли, используемой для подписи. В настоящее время применяется только для схемы подписи RSA PSS. Варианты: ‘auto’ (по умолчанию используется в Golang, заставляя соль быть как можно больше при подписи), ‘hash’ (заставляет длину соли равняться длине хэша, используемого в подписи) или целое число между минимальной и максимальной допустимой длиной соли для данного размера ключа RSA. По умолчанию установлено значение ‘auto’. |
signature | string | нет | Подпись, включая версию заголовка/ключа хранилища |
signature_algorithm | string | нет | Алгоритм подписи, используемый для проверки подписи. В настоящее время применяется только для ключей типа RSA. Варианты: ‘pss’ или ‘pkcs1v15’. По умолчанию используется ‘pss’ |
urlalgorithm | string | нет | Используемый алгоритм хэширования (параметр POST URL) |
Ответы
200: OK
POST /{transit_mount_path}/verify/{name}/{urlalgorithm}
ID операции: transit-verify-with-algorithm
Проверить подпись или HMAC для входных данных, созданных с использованием именованного ключа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Ключ к использованию |
urlalgorithm | string | path | да | Используемый алгоритм хэширования (параметр POST URL) |
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm | string (default: sha2-256) | нет | Утрачено: Предпочтительно использовать “hash_algorithm”. |
batch_input | array | нет | Определяет список элементов для обработки. Когда этот параметр задан, все предоставленные параметры ‘input’, ‘hmac’ или ‘signature’ будут проигнорированы. Ответы возвращаются в массиве ‘batch_results’ в элементе ‘data’ ответа. Любой пакетный вывод будет сохранять порядок пакетного ввода |
context | string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена; в настоящее время доступен только для ключей ed25519. |
hash_algorithm | string (default: sha2-256) | нет | Используемый алгоритм хэширования (параметр тела POST). Допустимые значения: * sha1 * sha2-224 * sha2-256 * sha2-384 * sha2-512 * sha3-224 * sha3-256 * sha3-384 * sha3-512 * none По умолчанию установлено значение “sha2-256”. Действует не для всех типов ключей. См. примечание о none в пути подписи. |
hmac | string | нет | HMAC, включая версию заголовка/ключа хранилища |
input | string | нет | Входные данные в кодировке base64 для проверки |
marshaling_algorithm | string (default: asn1) | нет | Метод, с помощью которого следует размаривать подпись при проверке. По умолчанию используется ‘asn1’, который используется openssl и X.509; также может быть установлено значение ‘jws’, которое используется для подписей JWT, в этом случае подпись также должна быть в url-safe base64-кодировке вместо стандартной base64-кодировки. В настоящее время действует только для типов ключей ECDSA P-256”. |
prehashed | boolean | нет | Устанавливается в ’true’, если входные данные уже хэшированы. Если тип ключа ‘rsa-2048’, ‘rsa-3072’ или ‘rsa-4096’, то алгоритм, используемый для хеширования входных данных, должен быть указан параметром ‘algorithm’. |
salt_length | string (default: auto) | нет | Длина соли, используемой для подписи. В настоящее время применяется только для схемы подписи RSA PSS. Варианты: ‘auto’ (по умолчанию используется в Golang, заставляя соль быть как можно больше при подписи), ‘hash’ (заставляет длину соли равняться длине хэша, используемого в подписи) или целое число между минимальной и максимальной допустимой длиной соли для данного размера ключа RSA. По умолчанию установлено значение ‘auto’. |
signature | string | нет | Подпись, включая версию заголовка/ключа хранилища |
signature_algorithm | string | нет | Алгоритм подписи, используемый для проверки подписи. В настоящее время применяется только для ключей типа RSA. Варианты: ‘pss’ или ‘pkcs1v15’. По умолчанию используется ‘pss’ |
Ответы
200: OK
GET /{transit_mount_path}/wrapping_key
ID операции: transit-read-wrapping-key
Возвращает открытый ключ, используемый для обертывания импортированных ключей
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK