auth
GET /auth/token/accessors
ID операции: token-list-accessors.
Отображает список аксессоров токенов, которые могут быть использованы для итерации и обнаружения их свойств или отзыва. Поскольку это может быть использовано для вызова отказа в обслуживании, эта конечная точка требует наличия прав ‘sudo’ в дополнение к ‘list’.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
POST /auth/token/create
ID операции: token-create
Создает новый токен. Метод используется для создания новых токенов.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
display_name |
string | нет | Имя, которое нужно связать с этим токеном |
entity_alias |
string | нет | Имя алиаса сущности, который нужно связать с этим токеном |
explicit_max_ttl |
string | нет | Явный максимальный TTL этого токена |
id |
string | нет | Значение для токена |
lease |
string | нет | ⚠️ Устарело. Вместо этого используйте ‘ttl’ |
meta |
object | нет | Произвольные метаданные ключ=значение, которые нужно связать с токеном |
no_default_policy |
boolean | нет | Не включать политику по умолчанию для этого токена |
no_parent |
boolean | нет | Создайте токен без родителя |
num_uses |
integer | нет | Максимальное количество использований этого токена |
period |
string | нет | Период обновления |
policies |
array | нет | Список политик для токена |
renewable |
boolean (default: True) | нет | Позволяет обновлять токен по истечении его начального TTL до максимального TTL системы/монтажа |
ttl |
string | нет | Время жизни этого токена |
type |
string | нет | Тип токена |
Ответы
200: OK.
POST /auth/token/create-orphan
ID операции: token-create-orphan.
Создает новый токен. Метод используется для создания новых токенов-сирот.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
display_name |
string | нет | Имя, которое нужно связать с этим токеном |
entity_alias |
string | нет | Имя алиаса сущности, который нужно связать с этим токеном |
explicit_max_ttl |
string | нет | Явный максимальный TTL этого токена |
id |
string | нет | Значение для токена |
lease |
string | нет | ⚠️ Устарело. Вместо этого используйте ‘ttl’ |
meta |
object | нет | Произвольные метаданные ключ=значение, которые нужно связать с токеном |
no_default_policy |
boolean | нет | Не включать политику по умолчанию для этого токена |
no_parent |
boolean | нет | Создайте токен без родителя |
num_uses |
integer | нет | Максимальное количество использований этого токена |
period |
string | нет | Период обновления |
policies |
array | нет | Список политик для токена |
renewable |
boolean (default: True) | нет | Позволяет обновлять токен по истечении его начального TTL до максимального TTL системы/монтажа |
ttl |
string | нет | Время жизни этого токена |
type |
string | нет | Тип токена |
Ответы
200: OK.
POST /auth/token/create/{role_name}
ID операции: token-create-against-role.
Создает новый токен. Метод используется для создания новых токенов, соответствующих заданной роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Название роли |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
display_name |
string | нет | Имя, которое нужно связать с этим токеном |
entity_alias |
string | нет | Имя алиаса сущности, который нужно связать с этим токеном |
explicit_max_ttl |
string | нет | Явный максимальный TTL этого токена |
id |
string | нет | Значение для токена |
lease |
string | нет | ⚠️ Устарело. Вместо этого используйте ‘ttl’ |
meta |
object | нет | Произвольные метаданные ключ=значение, которые нужно связать с токеном |
no_default_policy |
boolean | нет | Не включать политику по умолчанию для этого токена |
no_parent |
boolean | нет | Создайте токен без родителя |
num_uses |
integer | нет | Максимальное количество использований этого токена |
period |
string | нет | Период обновления |
policies |
array | нет | Список политик для токена |
renewable |
boolean (default: True) | нет | Позволяет обновлять токен по истечении его начального TTL до максимального TTL системы/монтажа |
ttl |
string | нет | Время жизни этого токена |
type |
string | нет | Тип токена |
Ответы
200: OK.
GET /auth/token/lookup
ID операции: token-look-up-2.
Отображает токен и его свойства.
Ответы
200: OK.
POST /auth/token/lookup
ID операции: token-look-up.
Отображает токен и его свойства.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token |
string | нет | Токен для поиска (тело POST-запроса) |
Ответы
200: OK.
POST /auth/token/lookup-accessor
ID операции: token-look-up-accessor.
Отображает токен, связанный с данным аксессором и его свойствами. Ответ не будет содержать идентификатор токена.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor |
string | нет | Аксессор токена для поиска (тело запроса) |
Ответы
200: OK.
GET /auth/token/lookup-self
ID операции: token-look-up-self
Отображает токен и его свойства.
Ответы
200: OK.
POST /auth/token/lookup-self
ID операции: token-look-up-self2.
Отображает токен и его свойства.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token |
string | нет | Токен для поиска (не используется, устанавливать не нужно) |
Ответы
200: OK.
POST /auth/token/renew
ID операции: token-renew.
Обновляет заданный токен и предотвращает истечение срока его действия.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
increment |
integer (default: 0) | нет | Желаемый интервал в секундах до истечения срока действия токена |
token |
string | нет | Токен для обновления (тело запроса) |
Ответы
200: OK.
POST /auth/token/renew-accessor
ID операции: token-renew-accessor.
Обновляет токен, связанный с данным аксессором и его свойствами. Ответ не будет содержать идентификатор токена.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor |
string | нет | Аксессор токена, который нужно обновить (тело запроса) |
increment |
integer (default: 0) | нет | Желаемый интервал в секундах до истечения срока действия токена |
Ответы
200: OK.
POST /auth/token/renew-self
ID операции: token-renew-self.
Обновляет токен, используемый для ее вызова, и предотвращает истечение срока действия.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
increment |
integer (default: 0) | нет | Желаемый интервал в секундах до истечения срока действия токена |
token |
string | нет | Токен для обновления (не используется, устанавливать не нужно) |
Ответы
200: OK.
POST /auth/token/revoke
ID операции: token-revoke.
Удаляет заданный токен и все его дочерние токены.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token |
string | нет | Токен для отзыва (тело запроса) |
Ответы
200: OK.
POST /auth/token/revoke-accessor
ID операции: token-revoke-accessor.
Удаляет токен, связанный с аксессором, и все его дочерние токены.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor |
string | нет | Аксессор токена (тело запроса) |
Ответы
200: OK.
POST /auth/token/revoke-orphan
ID операции: token-revoke-orphan.
Удаляет токен и осиротит его дочерние токены.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token |
string | нет | Токен для отзыва (тело запроса) |
Ответы
200: OK.
POST /auth/token/revoke-self
ID операции: token-revoke-self.
Удаляет токен, использованный для вызова, и все дочерние токены.
Ответы
200: OK.
GET /auth/token/roles
ID операции: token-list-roles.
Получает настроенные роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /auth/token/roles/{role_name}
ID операции: token-read-role.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Название роли |
Ответы
200: OK.
POST /auth/token/roles/{role_name}
ID операции: token-write-role.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Название роли |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_entity_aliases |
array | нет | Строковый или JSON-список разрешенных алиасыов сущностей. Если установлено, указывает алиасы сущностей, которые разрешено использовать при генерации токенов. Это поле поддерживает globbing |
allowed_policies |
array | нет | Если этот параметр установлен, токены могут быть созданы с любым подмножеством политик из этого списка, а не с обычной семантикой, когда токены являются подмножеством политик вызывающего токена. Параметр представляет собой строку имен политик, разделенную запятыми |
allowed_policies_glob |
array | нет | Если этот параметр установлен, токены могут быть созданы с любым подмножеством политик в этом списке, а не с обычной семантикой, когда токены являются подмножеством политик вызывающего токена. Параметр представляет собой разделенную запятыми строку глобусов имен политик |
bound_cidrs |
array | нет | ⚠️ Устарело. Вместо этого используйте ‘token_bound_cidrs’ |
disallowed_policies |
array | нет | Если установлено, для успешного создания токена с помощью этой роли потребуется, чтобы не было запрошено ни одной политики из данного списка. Параметр представляет собой строку имен политик, разделенных запятыми |
disallowed_policies_glob |
array | нет | Если этот параметр установлен, то для успешного создания токена с помощью этой роли необходимо, чтобы ни одна из запрашиваемых политик не совпадала ни с одной из политик в этом списке. Параметр представляет собой разделенную запятыми строку глобусов имен политик |
explicit_max_ttl |
integer | нет | ⚠️ Устарело. Вместо этого используйте ‘token_explicit_max_ttl’ |
orphan |
boolean | нет | Если true, то токены, созданные с помощью этой роли, будут сиротскими (не будут иметь родителя) |
path_suffix |
string | нет | Если установлено, то токены, созданные с помощью этой роли, будут содержать указанный суффикс в качестве части своего пути. Это может быть использовано для помощи в использовании конечной точки ‘revoke-prefix’ в дальнейшем. Указанный суффикс должен соответствовать регулярному выражению.\w[\w-.]+\w |
period |
integer | нет | ⚠️ Устарело. Вместо этого используйте ‘token_period’ |
renewable |
boolean (default: True) | нет | Токены, созданные с помощью этой роли, будут возобновляться или нет в соответствии с этим значением. По умолчанию значение равно true |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен |
token_explicit_max_ttl |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен |
token_no_default_policy |
boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”) |
token_type |
string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
Ответы
200: OK.
DELETE /auth/token/roles/{role_name}
ID операции: token-delete-role.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Название роли |
Ответы
204: пустое тело.
POST /auth/token/tidy
ID операции: token-tidy
Запускает задачи по очистке по определенным условиям.
Ответы
200: OK.
POST /auth/{approle_mount_path}/login
ID операции: app-role-login.
Выдвет токена на основе предоставленных учетных данных.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
role_id |
string | нет | Уникальный идентификатор роли. Обязательно должен быть предоставлен, если установлено ограничение ‘bind_secret_id’ |
secret_id |
string (default: ) | нет | SecretID принадлежит роли App |
Ответы
200: OK.
GET /auth/{approle_mount_path}/role
ID операции: app-role-list-roles.
Отображает все роли, зарегистрированные в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет |
GET /auth/{approle_mount_path}/role/{role_name}
ID операции: app-role-read-role.
Регистрирует роль в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bind_secret_id |
boolean | нет | Установите обязательное предоставление секретного ID при входе с использованием этой роли |
local_secret_ids |
boolean | нет | Если установлено значение true, секретные идентификаторы, созданные с использованием этой роли, будут локальными для кластера. Это можно установить только во время создания роли, и после установки изменить это значение невозможно |
period |
integer | нет | ⚠️ Устарело. Вместо этого используйте “token_period”. Если указаны и “token_period”, то будет использоваться только “token_period” |
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies” |
secret_id_bound_cidrs |
array | нет | Строка или список блоков CIDR, разделенных запятыми. Если установлено, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему. |
secret_id_num_uses |
integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет |
secret_id_ttl |
integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен |
token_explicit_max_ttl |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен |
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy |
boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз |
token_period |
integer | нет | Если установлено, токены, созданные с помощью этой роли, не будут иметь максимального срока действия; вместо этого их срок продления будет зафиксирован на этом значении |
token_policies |
array | нет | Список политик, разделенный запятыми |
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
token_type |
string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
POST /auth/{approle_mount_path}/role/{role_name}
ID операции: app-role-write-role.
Регистрирует роль в бэкенде.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bind_secret_id |
boolean (default: True) | нет | Ввести secret_id, который должен быть представлен при входе в систему с использованием этой роли. По умолчанию имеет значение ‘true’ |
bound_cidr_list |
array | нет | ⚠️ Устарело. Вместо этого используйте “secret_id_bound_cidrs” |
local_secret_ids |
boolean | нет | Если установлено, секретные идентификаторы, созданные с помощью этой роли, будут локальными для кластера. Этот параметр может быть задан только при создании роли, и после установки его нельзя сбросить |
period |
integer | нет | ⚠️ Устарело. Вместо этого используйте “token_period”. Если указаны и “token_period”, то будет использоваться только “token_period” |
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies” |
role_id |
string | нет | Идентификатор роли. По умолчанию это UUID |
secret_id_bound_cidrs |
array | нет | Строка или список блоков CIDR, разделенных запятыми. Если установлено, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему |
secret_id_num_uses |
integer | нет | Количество раз, которое SecretID может получить доступ к роли, после чего SecretID истекает. По умолчанию равно 0, что означает неограниченное использование Secret_id |
secret_id_ttl |
integer | нет | Продолжительность в секундах, по истечении которой выданный SecretID должен истечь. По умолчанию равно 0, что означает отсутствие истечения срока действия |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен |
token_explicit_max_ttl |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен |
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy |
boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”). |
token_policies |
array | нет | Список политик, разделенный запятыми |
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
token_type |
string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
Ответы
200: OK.
DELETE /auth/{approle_mount_path}/role/{role_name}
ID операции: app-role-delete-role.
Регистрирует роль в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело..
GET /auth/{approle_mount_path}/role/{role_name}/bind-secret-id
ID операции: app-role-read-bind-secret-id.
Указывает secret_id, который должен быть представлен при входе в систему с использованием этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bind_secret_id |
boolean | нет | Ввести secret_id, который должен быть представлен при входе в систему с использованием этой роли. По умолчанию имеет значение ‘true’ |
POST /auth/{approle_mount_path}/role/{role_name}/bind-secret-id
ID операции: app-role-write-bind-secret-id.
Указывает secret_id, который должен быть представлен при входе в систему с использованием этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bind_secret_id |
boolean (default: True) | нет | Указывает secret_id, который должен быть представлен при входе в систему с использованием этой роли |
Ответы
204: пустое тело..
DELETE /auth/{approle_mount_path}/role/{role_name}/bind-secret-id
ID операции: app-role-delete-bind-secret-id.
Указывает secret_id, который должен быть представлен при входе в систему с использованием этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело..
GET /auth/{approle_mount_path}/role/{role_name}/bound-cidr-list
ID операции: app-role-read-bound-cidr-list.
Устарело: Список блоков CIDR, разделенных запятыми, если установлен указывает блоки IP-адресов, которые могут выполнять операцию входа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bound_cidr_list |
array | нет | ⚠️ Устарело. Утратил актуальность: Вместо этого используйте “secret_id_bound_cidrs”. Строка или список блоков CIDR, разделенных запятыми. Если задано, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему |
POST /auth/{approle_mount_path}/role/{role_name}/bound-cidr-list
ID операции: app-role-write-bound-cidr-list.
Устарело: Список блоков CIDR, разделенных запятыми, если установлен указывает блоки IP-адресов, которые могут выполнять операцию входа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bound_cidr_list |
array | нет | Утратил актуальность: Вместо этого используйте “secret_id_bound_cidrs”. Строка или список блоков CIDR, разделенных запятыми. Если задано, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему |
Ответы
204: пустое тело..
DELETE /auth/{approle_mount_path}/role/{role_name}/bound-cidr-list
ID операции: app-role-delete-bound-cidr-list.
Устарело: Список блоков CIDR, разделенных запятыми, если установлен указывает блоки IP-адресов, которые могут выполнять операцию входа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело..
POST /auth/{approle_mount_path}/role/{role_name}/custom-secret-id
ID операции: app-role-write-custom-secret-id.
Назначает SecretID на выбор для этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cidr_list |
array | нет | Разделенная запятыми строка или список блоков CIDR, обеспечивающих использование секретных идентификаторов из определенного набора IP-адресов. Если для роли задан ‘bound_cidr_list’, то список CIDR-блоков, перечисленных здесь, должен быть подмножеством CIDR-блоков, перечисленных для роли |
metadata |
string | нет | Метаданные, которые должны быть привязаны к SecretID. Это должна быть строка в формате JSON, содержащая метаданные в парах ключ-значение |
num_uses |
integer | нет | Количество раз, которое может быть использован данный SecretID, после чего срок действия SecretID истекает. Переопределяет опцию роли secret_id_num_uses, если она задана. Не может быть больше, чем secret_id_num_uses роли |
secret_id |
string | нет | Секретный идентификатор, который будет привязан к роли |
token_bound_cidrs |
array | нет | Строка или список блоков CIDR, разделенных запятыми. Если задано, указывает блоки IP-адресов, которые могут использовать возвращенный токен. Должно быть подмножеством CIDR-блоков токена, перечисленных в роли, если таковые имеются |
ttl |
integer | нет | Продолжительность в секундах, после которой истекает срок действия данного SecretID. Переопределяет опцию роли secret_id_ttl, если она задана. Не может быть больше, чем secret_id_ttl роли |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id |
string | нет | Секретный идентификатор, прикрепленный к роли |
secret_id_accessor |
string | нет | Идентификатор секретного ID |
secret_id_num_uses |
integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет |
secret_id_ttl |
integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает |
GET /auth/{approle_mount_path}/role/{role_name}/local-secret-ids
ID операции: app-role-read-local-secret-ids.
Позволяет создавать локальные секретные идентификаторы кластера.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
local_secret_ids |
boolean | нет | Если установлено значение true, секретные идентификаторы, созданные с использованием этой роли, будут локальными для кластера. Это можно установить только во время создания роли, и после установки изменить это значение невозможно |
GET /auth/{approle_mount_path}/role/{role_name}/period
ID операции: app-role-read-period.
Обновляет значение ‘period’ в роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
period |
integer | нет | ⚠️ Устарело. Вместо этого используйте “token_period”. Если указаны и “token_period”, то будет использоваться только “token_period” |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”) |
POST /auth/{approle_mount_path}/role/{role_name}/period
ID операции: app-role-write-period.
Обновляет значение ‘period’ в роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
period |
integer | нет | ⚠️ Устарело. Вместо этого используйте “token_period”. Если указаны и “token_period”, то будет использоваться только “token_period” |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”) |
Ответы
204: пустое тело..
DELETE /auth/{approle_mount_path}/role/{role_name}/period
ID операции: app-role-delete-period.
Обновляет значение ‘period’ в роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело..
GET /auth/{approle_mount_path}/role/{role_name}/policies
ID операции: app-role-read-policies.
Назначает политику роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies” |
token_policies |
array | нет | Список политик, разделенный запятыми |
POST /auth/{approle_mount_path}/role/{role_name}/policies
ID операции: app-role-write-policies.
Назначает политику роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies” |
token_policies |
array | нет | Список политик, разделенный запятыми |
Ответы
204: пустое тело..
DELETE /auth/{approle_mount_path}/role/{role_name}/policies
ID операции: app-role-delete-policies.
Назначает политику роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело..
GET /auth/{approle_mount_path}/role/{role_name}/role-id
ID операции: app-role-read-role-id.
Возвращает ‘role_id’ роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
role_id |
string | нет | Идентификатор роли. По умолчанию это UUID |
POST /auth/{approle_mount_path}/role/{role_name}/role-id
ID операции: app-role-write-role-id.
Возвращает ‘role_id’ роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
role_id |
string | нет | Идентификатор роли. По умолчанию это UUID |
Ответы
204: пустое тело..
GET /auth/{approle_mount_path}/role/{role_name}/secret-id
ID операции: app-role-list-secret-ids.
Управляет SecretID для этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id
ID операции: app-role-write-secret-id.
Управляет SecretID для этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cidr_list |
array | нет | Разделенная запятыми строка или список блоков CIDR, обеспечивающих использование секретных идентификаторов из определенного набора IP-адресов. Если для роли задан ‘bound_cidr_list’, то список CIDR-блоков, перечисленных здесь, должен быть подмножеством CIDR-блоков, перечисленных для роли |
metadata |
string | нет | Метаданные, которые должны быть привязаны к SecretID. Это должна быть строка в формате JSON, содержащая метаданные в парах ключ-значение |
num_uses |
integer | нет | Количество раз, которое может быть использован данный SecretID, после чего срок действия SecretID истекает. Переопределяет опцию роли secret_id_num_uses, если она задана. Не может быть больше, чем secret_id_num_uses роли |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен |
ttl |
integer | нет | Продолжительность в секундах, после которой истекает срок действия данного SecretID. Переопределяет опцию роли secret_id_ttl, если она задана. Не может быть больше, чем secret_id_ttl роли |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id |
string | нет | Секретный идентификатор, прикрепленный к роли |
secret_id_accessor |
string | нет | Индентефикатор секретного ID |
secret_id_num_uses |
integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет |
secret_id_ttl |
integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-accessor/destroy
ID операции: app-role-destroy-secret-id-by-accessor.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_accessor |
string | нет | Аксессор SecretID |
Ответы
204: пустое тело..
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id-accessor/destroy
ID операции: app-role-destroy-secret-id-by-accessor2.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело..
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-accessor/lookup
ID операции: app-role-look-up-secret-id-by-accessor.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_accessor |
string | нет | Аксессор SecretID |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cidr_list |
array | нет | Список блоков CIDR, требующих использования секретных ID из определенного набора IP-адресов. Если ‘bound_cidr_list’ установлен на роли, то список блоков CIDR, указанных здесь, должен быть подмножеством блоков CIDR, указанных на роли |
creation_time |
string | нет | |
expiration_time |
string | нет | |
last_updated_time |
string | нет | |
metadata |
object | нет | |
secret_id_accessor |
string | нет | Индентефикатор секретного ID |
secret_id_num_uses |
integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет |
secret_id_ttl |
integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает |
token_bound_cidrs |
array | нет | Список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен. Должен быть подмножеством блоков CIDR токена, указанных на роли, если таковые имеются |
GET /auth/{approle_mount_path}/role/{role_name}/secret-id-bound-cidrs
ID операции: app-role-read-secret-id-bound-cidrs
Список блоков CIDR, разделенных запятыми, если установлен, указывает блоки IP-адресов, которые могут выполнять операцию входа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_bound_cidrs |
array | нет | Строка или список блоков CIDR, разделенных запятыми. Если установлено, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-bound-cidrs
ID операции: app-role-write-secret-id-bound-cidrs.
Список блоков CIDR, разделенных запятыми, если установлен, указывает блоки IP-адресов, которые могут выполнять операцию входа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_bound_cidrs |
array | нет | Строка или список блоков CIDR, разделенных запятыми. Если установлено, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему. |
Ответы
204: пустое тело..
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id-bound-cidrs
ID операции: app-role-delete-secret-id-bound-cidrs.
Список блоков CIDR, разделенных запятыми, если установлен, указывает блоки IP-адресов, которые могут выполнять операцию входа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело..
GET /auth/{approle_mount_path}/role/{role_name}/secret-id-num-uses
ID операции: app-role-read-secret-id-num-uses.
Управляет лимитом использования SecretID, созданного для роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_num_uses |
integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет. По умолчанию 0 означает, что секретный идентификатор используется неограниченно |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-num-uses
ID операции: app-role-write-secret-id-num-uses.
Управляет лимитом использования SecretID, созданного для роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_num_uses |
integer | нет | Управляет количеством раз, когда секретный идентификатор может получить доступ к роли, после чего срок действия секретного идентификатора истекает |
Ответы
204: пустое тело..
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id-num-uses
ID операции: app-role-delete-secret-id-num-uses.
Управляет лимитом использования SecretID, созданного для роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело..
GET /auth/{approle_mount_path}/role/{role_name}/secret-id-ttl
ID операции: app-role-read-secret-id-ttl.
Управляет продолжительностью в секундах SecretID, сгенерированного против роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_ttl |
integer | нет | Продолжительность в секундах после которой выданный секретный ID должен истечь. По умолчанию 0 означает отсутствие срока действия |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-ttl
ID операции: app-role-write-secret-id-ttl.
Управляет продолжительностью в секундах SecretID, сгенерированного против роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_ttl |
integer | нет | Продолжительность в секундах, по истечении которой выданный SecretID должен истечь. По умолчанию равно 0, что означает отсутствие истечения срока действия |
Ответы
204: пустое тело..
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id-ttl
ID операции: app-role-delete-secret-id-ttl.
Управляет продолжительностью в секундах SecretID, сгенерированного против роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /auth/{approle_mount_path}/role/{role_name}/secret-id/destroy
ID операции: app-role-destroy-secret-id
Управляет аннулированием выданного secret_id
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id |
string | нет | Секретный идентификатор, прикрепленный к роли. |
Ответы
204: пустое тело.
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id/destroy
ID операции: app-role-destroy-secret-id2
Управляет аннулированием выданного secret_id
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /auth/{approle_mount_path}/role/{role_name}/secret-id/lookup
ID операции: app-role-look-up-secret-id
Чтение свойств выданного secret_id
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id |
string | нет | Секретный идентификатор, прикрепленный к роли. |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cidr_list |
array | нет | Список блоков CIDR, требующих использования секретных ID из определенного набора IP-адресов. Если ‘bound_cidr_list’ установлен на роли, то список блоков CIDR, указанных здесь, должен быть подмножеством блоков CIDR, указанных на роли. |
creation_time |
string | нет | |
expiration_time |
string | нет | |
last_updated_time |
string | нет | |
metadata |
object | нет | |
secret_id_accessor |
string | нет | Индентефикатор секретного ID |
secret_id_num_uses |
integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет. |
secret_id_ttl |
integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает. |
token_bound_cidrs |
array | нет | Список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен. Должен быть подмножеством блоков CIDR токена, указанных на роли, если таковые имеются. |
GET /auth/{approle_mount_path}/role/{role_name}/token-bound-cidrs
ID операции: app-role-read-token-bound-cidrs
Строка, разделенная запятыми, или список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_bound_cidrs |
array | нет | Строка или список блоков CIDR, разделенных запятыми. Если задано, указывает блоки IP-адресов, которые могут использовать возвращенный токен. Должно быть подмножеством CIDR-блоков токена, перечисленных в роли, если таковые имеются. |
POST /auth/{approle_mount_path}/role/{role_name}/token-bound-cidrs
ID операции: app-role-write-token-bound-cidrs
Строка, разделенная запятыми, или список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
Ответы
204: пустое тело.
DELETE /auth/{approle_mount_path}/role/{role_name}/token-bound-cidrs
ID операции: app-role-delete-token-bound-cidrs
Строка, разделенная запятыми, или список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /auth/{approle_mount_path}/role/{role_name}/token-max-ttl
ID операции: app-role-read-token-max-ttl
Продолжительность в секундах - максимальный срок действия токенов, выданных с использованием SecretIDs, сгенерированных против этой роли, после которого токены не разрешается возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
POST /auth/{approle_mount_path}/role/{role_name}/token-max-ttl
ID операции: app-role-write-token-max-ttl
Продолжительность в секундах - максимальный срок действия токенов, выданных с использованием SecretIDs, сгенерированных против этой роли, после которого токены не разрешается возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
Ответы
204: пустое тело.
DELETE /auth/{approle_mount_path}/role/{role_name}/token-max-ttl
ID операции: app-role-delete-token-max-ttl
Продолжительность в секундах - максимальный срок действия токенов, выданных с использованием SecretIDs, сгенерированных против этой роли, после которого токены не разрешается возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /auth/{approle_mount_path}/role/{role_name}/token-num-uses
ID операции: app-role-read-token-num-uses
Управляет количеством раз, когда выпущенные токены могут быть использованы
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
POST /auth/{approle_mount_path}/role/{role_name}/token-num-uses
ID операции: app-role-write-token-num-uses
Управляет количеством раз, когда выпущенные токены могут быть использованы
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
Ответы
204: пустое тело.
DELETE /auth/{approle_mount_path}/role/{role_name}/token-num-uses
ID операции: app-role-delete-token-num-uses
Управляет количеством раз, когда выпущенные токены могут быть использованы
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /auth/{approle_mount_path}/role/{role_name}/token-ttl
ID операции: app-role-read-token-ttl
Продолжительность в секундах - срок действия токена, выданного с использованием SecretID, сгенерированного против этой роли, до истечения срока действия токена, который нужно возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
POST /auth/{approle_mount_path}/role/{role_name}/token-ttl
ID операции: app-role-write-token-ttl
Продолжительность в секундах - срок действия токена, выданного с использованием SecretID, сгенерированного против этой роли, до истечения срока действия токена, который нужно возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
Ответы
204: пустое тело.
DELETE /auth/{approle_mount_path}/role/{role_name}/token-ttl
ID операции: app-role-delete-token-ttl
Продолжительность в секундах - срок действия токена, выданного с использованием SecretID, сгенерированного против этой роли, до истечения срока действия токена, который нужно возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело..
POST /auth/{approle_mount_path}/tidy/secret-id
ID операции: app-role-tidy-secret-id.
Инициировать очистку истекших записей SecretID.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
202: Принято.
GET /auth/{jwt_mount_path}/config
ID операции: jwt-read-configuration.
Прочитайте текущую конфигурацию бэкенда аутентификации JWT.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /auth/{jwt_mount_path}/config
ID операции: jwt-configure.
Настроить настройку бэкенда аутентификации JWT.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bound_issuer |
string | нет | Значение, с которым следует сопоставить утверждение ‘iss’ в JWT. Необязательно |
default_role |
string | нет | Роль по умолчанию, используемая, если при входе в систему не указана ни одна из ролей. Если значение не задано, при входе в систему требуется указать роль |
jwks_ca_pem |
string | нет | Сертификат ЦС или цепочка сертификатов в формате PEM для проверки соединений с URL JWKS. Если значение не задано, используются системные сертификаты |
jwks_pairs |
array | нет | Набор пар JWKS Url и сертификата ЦС (или цепочки сертификатов). Сертификаты ЦС должны быть в формате PEM. Не может быть использован с “jwks_url” или “jwks_ca_pem” |
jwks_url |
string | нет | URL-адрес JWKS для аутентификации подписей. Не может использоваться с “oidc_discovery_url” или “jwt_validation_pubkeys” |
jwt_supported_algs |
array | нет | Список поддерживаемых алгоритмов подписи. По умолчанию используется RS256 |
jwt_validation_pubkeys |
array | нет | Список открытых ключей в кодировке PEM для локальной аутентификации подписей. Не может использоваться с “jwks_url” или “oidc_discovery_url” |
namespace_in_state |
boolean | нет | Передавать пространство имен в параметре состояния OIDC, а не как отдельный параметр запроса. При этой настройке разрешенные URL-адреса перенаправления в Vault и на стороне провайдера не должны содержать параметр запроса пространства имен. Это означает, что на стороне провайдера необходимо поддерживать только одну запись URL перенаправления для всех пространств имен хранилища, которые будут проходить аутентификацию. По умолчанию имеет значение true для новых конфигураций |
oidc_client_id |
string | нет | Идентификатор клиента OAuth, настроенный провайдером OIDC |
oidc_client_secret |
string | нет | Секрет клиента OAuth, настроенный провайдером OIDC |
oidc_discovery_ca_pem |
string | нет | Сертификат ЦС или цепочка сертификатов в формате PEM, используемые для проверки соединений с URL-адресом OIDC Discovery. Если значение не задано, используются системные сертификаты |
oidc_discovery_url |
string | нет | URL-адрес OIDC Discovery, без компонента .well-known (базовый путь). Не может использоваться с “jwks_url” или “jwt_validation_pubkeys” |
oidc_response_mode |
string | нет | Режим ответа, который будет использоваться в запросе OAuth2. Допустимые значения: ‘query’ и ‘form_post’ |
oidc_response_types |
array | нет | Типы ответов для запроса. Допустимые значения: ‘code’ и ‘id_token’. По умолчанию используется значение ‘code’ |
provider_config |
object | нет | Конфигурация для конкретного поставщика. Необязательно |
unsupported_critical_cert_extensions |
array | нет | Список ASN1 OID расширений сертификата с пометкой Critical, которые не поддерживаются Vault и должны быть проигнорированы. Эта опция нужна очень редко, только в специализированных средах PKI |
Ответы
200: OK.
POST /auth/{jwt_mount_path}/login
ID операции: jwt-login.
Аутентифицирует в Vault с использованием JWT (или OIDC) токена.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
distributed_claim_access_token |
string | нет | Необязательный токен, используемый для получения членства в группах, указанных в распределенном источнике утверждений в jwt. Поддерживается только для Azure/Entra ID |
jwt |
string | нет | Подписанный JWT для проверки |
role |
string | нет | Роль, под которой нужно войти в систему |
Ответы
200: OK.
POST /auth/{jwt_mount_path}/oidc/auth_url
ID операции: jwt-oidc-request-authorization-url.
Запросите URL авторизации для начала процесса входа OIDC.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
client_nonce |
string | нет | Необязательный одноразовый идентификатор текущей попытки смены ключа, предоставленный клиентом, который должен совпадать во время обратного вызова, если он присутствует |
redirect_uri |
string | нет | OAuth redirect_uri для использования в URL авторизации |
role |
string | нет | Роль для выдачи URL-адреса авторизации OIDC |
Ответы
200: OK.
GET /auth/{jwt_mount_path}/oidc/callback
ID операции: jwt-oidc-callback.
Конечная точка обратного вызова для завершения входа в OIDC.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
client_nonce |
string | query | нет | |
code |
string | query | нет | |
state |
string | query | нет | |
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /auth/{jwt_mount_path}/oidc/callback
ID операции: jwt-oidc-callback-form-post.
Метод обратного вызова для обработки form_posts.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
client_nonce |
string | query | нет | |
code |
string | query | нет | |
state |
string | query | нет | |
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
id_token |
string | нет |
Ответы
200: OK.
GET /auth/{jwt_mount_path}/role
ID операции: jwt-list-roles.
Отображает все роли, зарегистрированные в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /auth/{jwt_mount_path}/role/{name}
ID операции: jwt-read-role.
Считывает существующую роль.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /auth/{jwt_mount_path}/role/{name}
ID операции: jwt-write-role.
Регистрирует роль в бэкенде.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_redirect_uris |
array | нет | Список допустимых значений для redirect_uri, разделенный запятыми |
bound_audiences |
array | нет | Список утверждений ‘aud’, разделённых запятыми, которые действительны для входа. Достаточно любого совпадения |
bound_cidrs |
array | нет | ⚠️ Устарело. Вместо этого используйте “token_bound_cidrs”. Если указаны и “token_bound_cidrs”, то будет использоваться только “token_bound_cidrs” |
bound_claims |
object | нет | Список утверждений и соответствующих значений, которые должны совпадать для входа в систему |
bound_claims_type |
string (default: string) | нет | Как интерпретировать значения в карте утверждений/значений (которые должны совпадать для входа в систему): допустимые значения - ‘string’ или ‘glob’ |
bound_subject |
string | нет | Утверждение “sub”, действительное для входа в систему. Необязательно |
claim_mappings |
object | нет | Сопоставление утверждений (ключ), которые будут скопированы в поле метаданных (значение) |
clock_skew_leeway |
integer (default: 60000000000) | нет | Продолжительность в секундах свободы действий при проверке всех заявлений для учета перекоса часов. По умолчанию равна 60 (1 минута), если установлено значение 0, и может быть отключена, если установлено значение -1 |
expiration_leeway |
integer (default: 150) | нет | Продолжительность в секундах свободы действий при проверке истечения срока действия токена для учета перекоса часов. По умолчанию равна 150 (2,5 минуты), если установлено значение 0, и может быть отключена, если установлено значение -1 |
groups_claim |
string | нет | Утверждение, используемое для имен алиасыов групп идентификации |
max_age |
integer | нет | Указывает допустимое время в секундах, прошедшее с момента последней активной аутентификации пользователя. |
max_ttl |
integer | нет | ⚠️ Устарело. Вместо этого используйте “token_max_ttl”. Если указаны и “token_max_ttl”, то будет использоваться только “token_max_ttl” |
not_before_leeway |
integer (default: 150) | нет | Длительность в секундах свободы действий при проверке значений токена “не раньше” для учета перекоса часов. По умолчанию равна 150 (2,5 минуты), если установлено значение 0, и может быть отключена, если установлено значение -1 |
num_uses |
integer | нет | ⚠️ Устарело. Вместо этого используйте “token_num_uses”. Если указаны и “token_num_uses”, то будет использоваться только “token_num_uses” |
oidc_scopes |
array | нет | Список областей OIDC, разделенный запятыми |
period |
integer | нет | ⚠️ Устарело. Вместо этого используйте “token_period”. Если указаны и “token_period”, то будет использоваться только “token_period” |
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies” |
role_type |
string | нет | Тип роли, либо ‘jwt’, либо ‘oidc’ |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен |
token_explicit_max_ttl |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен |
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy |
boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”) |
token_policies |
array | нет | Список политик, разделенный запятыми |
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
token_type |
string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
ttl |
integer | нет | ⚠️ Устарело. Вместо этого используйте “token_ttl”. Если указаны и “token_ttl”, и “token_ttl”, будет использоваться только “token_ttl” |
user_claim |
string | нет | Утверждение, используемое для имени алиаса объекта идентификации |
user_claim_json_pointer |
boolean | нет | Если значение user_claim равно true, то для ссылок на формулы будет использоваться синтаксис указателей JSON |
verbose_oidc_logging |
boolean | нет | Ведите журнал полученных токенов и утверждений OIDC, если активна запись в журнал на уровне отладки. Не рекомендуется использовать в производстве, поскольку в ответах OIDC может содержаться конфиденциальная информация |
Ответы
200: OK.
DELETE /auth/{jwt_mount_path}/role/{name}
ID операции: jwt-delete-role.
Удаляет существующую роль.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /auth/{kubernetes_mount_path}/config
ID операции: kubernetes-read-auth-configuration.
Настраивает открытый ключ JWT и информацию о Kubernetes API.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /auth/{kubernetes_mount_path}/config
ID операции: kubernetes-configure-auth.
Настраивает открытый ключ JWT и информацию о Kubernetes API.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disable_iss_validation |
boolean (default: True) | нет | ⚠️ Устарело. Отключить проверку эмитента JWT (устарело, будет удалено в будущем выпуске) |
disable_local_ca_jwt |
boolean (default: False) | нет | Отключение использования по умолчанию локального сертификата CA и JWT учетной записи службы при запуске в стручке Kubernetes |
issuer |
string | нет | ⚠️ Устарело. Необязательный эмитент JWT. Если эмитент не указан, то этот плагин будет использовать kubernetes.io/serviceaccount в качестве эмитента по умолчанию. (Утратил актуальность, будет удален в будущем выпуске) |
kubernetes_ca_cert |
string | нет | Необязательный сертификат CA в PEM-кодировке для использования TLS-клиентом, используемым для взаимодействия с API. Если он не задан и значение disable_local_ca_jwt равно true, будет использоваться пул сертификатов доверенного ЦС системы |
kubernetes_host |
string | нет | Host должен быть строкой хоста, парой хост:порт или URL-адресом базы сервера Kubernetes API |
pem_keys |
array | нет | Необязательный список открытых ключей или сертификатов в PEM-формате, используемых для проверки подписей JWT-файлов учетных записей сервисов kubernetes. Если указан сертификат, будет извлечен его открытый ключ. Не каждая установка Kubernetes раскрывает эти ключи |
token_reviewer_jwt |
string | нет | JWT учетной записи сервиса (или другой токен), используемый в качестве токена на предъявителя для доступа к API TokenReview для проверки других JWT при входе в систему. Если не задано, то для доступа к API будет использоваться JWT, используемый для входа в систему |
use_annotations_as_alias_metadata |
boolean (default: False) | нет | Использование аннотаций из связанной с клиентским токеном учетной записи службы в качестве метаданных алиасыов для сущности Vault. Будут использоваться только аннотации с префиксом “vault.hashicorp.com/alias-metadata-“. Обратите внимание, что Vault потребуется разрешение на чтение учетных записей сервисов из Kubernetes API |
Ответы
200: OK.
POST /auth/{kubernetes_mount_path}/login
ID операции: kubernetes-login.
Аутентифицирует учетные записи службы Kubernetes с Vault.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
jwt |
string | нет | Подписанный JWT для проверки подлинности учетной записи службы. Это поле является обязательным |
role |
string | нет | Имя роли, против которой осуществляется попытка входа. Это поле является обязательным |
Ответы
200: OK.
GET /auth/{kubernetes_mount_path}/role
ID операции: kubernetes-list-auth-roles.
Отображает все роли, зарегистрированные в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /auth/{kubernetes_mount_path}/role/{name}
ID операции: kubernetes-read-auth-role.
Регистрирует роль в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /auth/{kubernetes_mount_path}/role/{name}
ID операции: kubernetes-write-auth-role.
Регистрирует роль в бэкенде.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alias_name_source |
string (default: serviceaccount_uid) | нет | Источник, который следует использовать при выведении имени алиаса. допустимые варианты: “serviceaccount_uid” : |
audience |
string | нет | Необязательное утверждение Аудитория для проверки в jwt |
bound_cidrs |
array | нет | ⚠️ Устарело. Вместо этого используйте “token_bound_cidrs”. Если указаны и “token_bound_cidrs”, то будет использоваться только “token_bound_cidrs” |
bound_service_account_names |
array | нет | Список имен учетных записей служб, имеющих доступ к этой роли. Если установлено значение “*”, разрешены все имена |
bound_service_account_namespace_selector |
string | нет | Селектор меток для пространств имен Kubernetes, которым разрешен доступ к этой роли. Принимает объект в формате JSON или YAML. Если задано вместе с bound_service_account_namespaces, условия объединяются |
bound_service_account_namespaces |
array | нет | Список пространств имен, разрешенных для доступа к этой роли. Если установлено значение “*”, разрешены все пространства имен |
max_ttl |
integer | нет | ⚠️ Устарело. Вместо этого используйте “token_max_ttl”. Если указаны и “token_max_ttl”, то будет использоваться только “token_max_ttl” |
num_uses |
integer | нет | ⚠️ Устарело. Вместо этого используйте “token_num_uses”. Если указаны и “token_num_uses”, то будет использоваться только “token_num_uses” |
period |
integer | нет | ⚠️ Устарело. Вместо этого используйте “token_period”. Если указаны и “token_period”, то будет использоваться только “token_period” |
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies” |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен |
token_explicit_max_ttl |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен |
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy |
boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”) |
token_policies |
array | нет | Список политик, разделенный запятыми |
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
token_type |
string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
ttl |
integer | нет | ⚠️ Устарело. Вместо этого используйте “token_ttl”. Если указаны и “token_ttl”, и “token_ttl”, будет использоваться только “token_ttl” |
Ответы
200: OK.
DELETE /auth/{kubernetes_mount_path}/role/{name}
ID операции: kubernetes-delete-auth-role.
Регистрирует роль в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /auth/{ldap_mount_path}/config
ID операции: ldap-read-auth-configuration.
Настроить LDAP сервер для подключения, вместе с его параметрами.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /auth/{ldap_mount_path}/config
ID операции: ldap-configure-auth.
Настроить LDAP сервер для подключения, вместе с его параметрами.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание | ||
|---|---|---|---|---|---|
anonymous_group_search |
boolean (default: False) | нет | Использовать анонимные привязки при поиске групп LDAP (если true, то исходные учетные данные все равно будут использоваться для первоначальной проверки соединения) | ||
binddn |
string | нет | LDAP DN для поиска DN пользователя (необязательно) | ||
bindpass |
string | нет | Пароль LDAP для поиска DN пользователя (необязательно) | ||
case_sensitive_names |
boolean | нет | Если значение равно true, то при сравнении имен пользователей и групп для сопоставления политик будет использоваться чувствительность к регистру | ||
certificate |
string | нет | Сертификат CA для использования при проверке сертификата сервера LDAP, должен быть в кодировке x509 PEM (необязательно) | ||
client_tls_cert |
string | нет | Сертификат клиента для предоставления серверу LDAP, должен быть закодирован x509 PEM (необязательно) | ||
client_tls_key |
string | нет | Ключ сертификата клиента для предоставления серверу LDAP, должен быть закодирован x509 PEM (необязательно) | ||
connection_timeout |
integer (default: 30s) | нет | Тайм-аут (в секундах) при попытке подключения к серверу LDAP перед попыткой перехода к следующему URL-адресу в конфигурации | ||
deny_null_bind |
boolean (default: True) | нет | Отклоняет неаутентифицированный запрос привязки LDAP, если пароль пользователя пуст; значение по умолчанию равно true | ||
dereference_aliases |
string (never, finding, searching, always) (default: never) | нет | Когда алиасы должны разыменовываться при операциях поиска. Принимаемые значения: ‘никогда’, ‘находить’, ‘искать’, ‘всегда’. По умолчанию установлено значение ‘никогда’ | ||
discoverdn |
boolean | нет | Используйте анонимную привязку, чтобы узнать привязочный DN пользователя (необязательно) | ||
groupattr |
string (default: cn) | нет | Атрибут LDAP, который следует использовать для объектов, возвращаемых |
||
groupdn |
string | нет | База поиска LDAP, используемая для поиска членства в группе (например: ou=Groups,dc=example,dc=org) | ||
groupfilter |
string (default: ( | (memberUid={{.Username}})(member={{.UserDN}})(uniqueMember={{.UserDN}}))) | нет | Шаблон Go для запроса принадлежности пользователя к группе (необязательно) Шаблон может обращаться к следующим контекстным переменным: UserDN, Username Пример: (&(objectClass=group)(member:1.2.840.113556.1.4.1941:={{.UserDN}})) По умолчанию: ( | (memberUid={{.Username}})(member={.UserDN}})(uniqueMember={.UserDN}})) |
insecure_tls |
boolean | нет | Пропустите проверку SSL-сертификата сервера LDAP - ОЧЕНЬ небезопасно (необязательно) | ||
max_page_size |
integer (default: 0) | нет | Если установлено значение больше 0, бэкенд LDAP будет использовать управление постраничным поиском сервера LDAP для запроса страниц до заданного размера. Это можно использовать, чтобы избежать столкновения с ограничением максимального размера результатов сервера LDAP. В противном случае бэкенд LDAP не будет использовать управление постраничным поиском | ||
request_timeout |
integer (default: 90s) | нет | Таймаут в секундах для соединения при выполнении запросов к серверу до возврата ошибки | ||
starttls |
boolean | нет | Выполнять команду StartTLS после установления незашифрованного соединения (необязательно) | ||
tls_max_version |
string (tls10, tls11, tls12, tls13) (default: tls12) | нет | Максимальная версия TLS для использования. Принимаемые значения: ‘tls10’, ‘tls11’, ‘tls12’ или ‘tls13’. По умолчанию - ‘tls12’ | ||
tls_min_version |
string (tls10, tls11, tls12, tls13) (default: tls12) | нет | Минимальная версия TLS для использования. Принимаемые значения: ‘tls10’, ‘tls11’, ‘tls12’ или ‘tls13’. По умолчанию используется значение ‘tls12’ | ||
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен | ||
token_explicit_max_ttl |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен | ||
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена | ||
token_no_default_policy |
boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам | ||
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз | ||
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”). | ||
token_policies |
array | нет | Список политик, разделенный запятыми. Она будет применяться ко всем токенам, сгенерированным этим методом аутентификации, в дополнение к любым, настроенным для определенных пользователей/групп | ||
token_ttl |
integer | нет | Начальный ttl генерируемого токена | ||
token_type |
string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный | ||
upndomain |
string | нет | Разрешает пользователюПринципалДомена входить в систему с [именем пользователя]@UPNDomain (необязательно). | ||
url |
string (default: ldap://127.0.0.1) | нет | URL-адрес LDAP для подключения (по умолчанию: ldap://127.0.0.1). Можно указать несколько URL-адресов, соединив их запятыми; они будут опробованы в порядке убывания | ||
use_pre111_group_cn_behavior |
boolean | нет | В Vault 1.1.1 исправление для обработки значений CN групп в разных случаях, к сожалению, внесло регрессию, которая могла привести к тому, что ранее определенные группы не были найдены из-за изменения результирующего имени. Если установлено значение true, будет использоваться поведение, существовавшее до версии 1.1.1, для соответствия CN групп. Это необходимо только в некоторых сценариях обновления для обратной совместимости. Она включается по умолчанию, если конфигурация обновляется, но отключается по умолчанию в новых конфигурациях | ||
use_token_groups |
boolean (default: False) | нет | Если значение true, то для поиска членов групп используется построенный атрибут Active Directory tokenGroups пользователя. При этом будут найдены все группы безопасности, включая вложенные | ||
userattr |
string (default: cn) | нет | Атрибут, используемый для пользователей (по умолчанию: cn) | ||
userdn |
string | нет | Домен LDAP, который будет использоваться для пользователей (например: ou=People,dc=example,dc=org) | ||
userfilter |
string (default: ({{.UserAttr}}={{.Username}})) | нет | Шаблон Go для фильтра поиска пользователей LDAP (необязательно) Шаблон может обращаться к следующим контекстным переменным: UserAttr, Username По умолчанию: ({{.UserAttr}}={{.Username}}) | ||
username_as_alias |
boolean (default: False) | нет | Если true, устанавливает имя алиаса на имя пользователя |
Ответы
200: OK.
GET /auth/{ldap_mount_path}/groups
ID операции: ldap-list-groups.
Управляйте дополнительными группами пользователей, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /auth/{ldap_mount_path}/groups/{name}
ID операции: ldap-read-group
Управляйте дополнительными группами пользователей, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя группы LDAP. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /auth/{ldap_mount_path}/groups/{name}
ID операции: ldap-write-group
Управляйте дополнительными группами пользователей, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя группы LDAP. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policies |
array | нет | Список политик, связанных с группой, разделенный запятыми. |
Ответы
200: OK.
DELETE /auth/{ldap_mount_path}/groups/{name}
ID операции: ldap-delete-group
Управляйте дополнительными группами пользователей, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя группы LDAP |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /auth/{ldap_mount_path}/login/{username}
ID операции: ldap-login.
Войдите в систему, введя имя пользователя и пароль.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username |
string | path | да | DN (отличительное имя), которое будет использоваться для входа в систему |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
password |
string | нет | Пароль для этого пользователя |
Ответы
200: OK.
GET /auth/{ldap_mount_path}/users
ID операции: ldap-list-users
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /auth/{ldap_mount_path}/users/{name}
ID операции: ldap-read-user.
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя пользователя LDAP |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /auth/{ldap_mount_path}/users/{name}
ID операции: ldap-write-user.
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя пользователя LDAP |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
groups |
array | нет | Список дополнительных групп, связанных с пользователем, разделенный запятыми |
policies |
array | нет | Список политик, связанных с пользователем, разделенный запятыми |
Ответы
200: OK.
DELETE /auth/{ldap_mount_path}/users/{name}
ID операции: ldap-delete-user.
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя пользователя LDAP |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /auth/{userpass_mount_path}/login/{username}
ID операции: userpass-login.
Войдите в систему, введя имя пользователя и пароль.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username |
string | path | да | Имя пользователя |
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
password |
string | нет | Пароль для этого пользователя |
Ответы
200: OK.
POST /auth/{userpass_mount_path}/password_policy/{policy_name}
ID операции: userpass-update-policies_password.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
policy_name |
string | path | да | Имя пароля политики для userpass |
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /auth/{userpass_mount_path}/users
ID операции: userpass-list-users.
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /auth/{userpass_mount_path}/users/{username}
ID операции: userpass-read-user.
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username |
string | path | да | Имя пользователя |
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /auth/{userpass_mount_path}/users/{username}
ID операции: userpass-write-user.
Управление пользователями, которым разрешена аутентификация.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username |
string | path | да | Имя пользователя |
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bound_cidrs |
array | нет | ⚠️ Устарело. Вместо этого используйте “token_bound_cidrs”. Если указаны и “token_bound_cidrs”, то будет использоваться только “token_bound_cidrs” |
max_ttl |
integer | нет | ⚠️ Устарело. Вместо этого используйте “token_max_ttl”. Если указаны и “token_max_ttl”, то будет использоваться только “token_max_ttl” |
password |
string | нет | Пароль для этого пользователя |
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies” |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен |
token_explicit_max_ttl |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен |
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy |
boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”) |
token_policies |
array | нет | Список политик, разделенный запятыми |
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
token_type |
string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
ttl |
integer | нет | ⚠️ Устарело. Вместо этого используйте “token_ttl”. Если указаны и “token_ttl”, и “token_ttl”, будет использоваться только “token_ttl” |
Ответы
200: OK.
DELETE /auth/{userpass_mount_path}/users/{username}
ID операции: userpass-delete-user.
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username |
string | path | да | Имя пользователя для этого пользователя |
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /auth/{userpass_mount_path}/users/{username}/password
ID операции: userpass-reset-password.
Сброс пароля пользователя.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username |
string | path | да | Имя пользователя для этого пользователя |
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
password |
string | нет | Пароль для этого пользователя |
Ответы
200: OK.
POST /auth/{userpass_mount_path}/users/{username}/policies
ID операции: userpass-update-policies.
Обновляет политики, связанные с именем пользователя.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username |
string | path | да | Имя пользователя для этого пользователя |
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies” |
token_policies |
array | нет | Список политик, разделенный запятыми |
Ответы
200: OK.
identity
POST /identity/alias
ID операции: alias-create.
Создайте новый алиасы.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
canonical_id |
string | нет | Идентификатор сущности, которой принадлежит этот алиасы |
entity_id |
string | нет | Идентификатор сущности, которой принадлежит этот алиасы. Это поле устарело в пользу ‘canonical_id’ |
id |
string | нет | Идентификатор алиаса |
mount_accessor |
string | нет | Идентификатор точки монтирования, которой принадлежит этот алиасы |
name |
string | нет | Имя алиаса |
Ответы
200: OK.
GET /identity/alias/id
ID операции: alias-list-by-id.
Список всех идентификаторов алиасыов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/alias/id/{id}
ID операции: alias-read-by-id.
Обновить, прочитать или удалить идентификатор алиаса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор алиаса |
Ответы
200: OK.
POST /identity/alias/id/{id}
ID операции: alias-update-by-id.
Обновить, прочитать или удалить идентификатор алиаса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор алиаса |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
canonical_id |
string | нет | Идентификатор сущности, к которой должен быть привязан этот алиасы |
entity_id |
string | нет | Идентификатор сущности, к которой должен быть привязан этот алиасы. Это поле устарело в пользу ‘canonical_id’ |
mount_accessor |
string | нет | Аксессор горы, к которому принадлежит этот алиасы |
name |
string | нет | Имя алиаса |
Ответы
200: OK.
DELETE /identity/alias/id/{id}
ID операции: alias-delete-by-id.
Обновить, прочитать или удалить идентификатор алиаса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор алиаса |
Ответы
204: пустое тело.
POST /identity/entity
ID операции: entity-create.
Создайте новую сущность.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disabled |
boolean | нет | Если установлено значение true, то токены, привязанные к этой идентификации, не смогут быть использованы (но не будут отозваны) |
id |
string | нет | Идентификатор сущности. Если установлен, обновляет соответствующую сущность |
metadata |
object | нет | Метаданные, которые должны быть связаны с сущностью. В CLI этот параметр может повторяться несколько раз, и все они будут объединены вместе. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
name |
string | нет | Название организации |
policies |
array | нет | Политики должны быть привязаны к организации |
Ответы
200: OK.
POST /identity/entity-alias
ID операции: entity-create-alias.
Создайте новый алиасы.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
canonical_id |
string | нет | Идентификатор сущности, которой принадлежит этот алиасы |
custom_metadata |
object | нет | Предоставленные пользователем пары ключ-значение |
entity_id |
string | нет | Идентификатор сущности, которой принадлежит этот алиасы. Это поле устарело, используйте canonical_id |
id |
string | нет | Идентификатор алиаса сущности. Если установлен, обновляет соответствующий алиасы сущности |
mount_accessor |
string | нет | Аксессор горы, к которому принадлежит этот алиасы; не используется для модификации |
name |
string | нет | Имя алиаса; не используется для модификации |
Ответы
200: OK.
GET /identity/entity-alias/id
ID операции: entity-list-aliases-by-id.
Список всех идентификаторов алиасыов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/entity-alias/id/{id}
ID операции: entity-read-alias-by-id.
Обновить, прочитать или удалить идентификатор алиаса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор алиаса |
Ответы
200: OK.
POST /identity/entity-alias/id/{id}
ID операции: entity-update-alias-by-id.
Обновить, прочитать или удалить идентификатор алиаса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор алиаса |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
canonical_id |
string | нет | Идентификатор сущности, к которой должен быть привязан этот алиасы |
custom_metadata |
object | нет | Предоставленные пользователем пары ключ-значение |
entity_id |
string | нет | Идентификатор сущности, которой принадлежит этот алиасы. Это поле устарело, используйте canonical_id |
mount_accessor |
string | нет | (Не используется) |
name |
string | нет | (Не используется) |
Ответы
200: OK.
DELETE /identity/entity-alias/id/{id}
ID операции: entity-delete-alias-by-id.
Обновить, прочитать или удалить идентификатор алиаса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор алиаса |
Ответы
204: пустое тело.
POST /identity/entity/batch-delete
ID операции: entity-batch-delete.
Удаляет все предоставленные сущности.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
entity_ids |
array | нет | Идентификаторы сущностей для удаления |
Ответы
200: OK.
GET /identity/entity/id
ID операции: entity-list-by-id.
Список всех идентификаторов сущностей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/entity/id/{id}
ID операции: entity-read-by-id.
Обновить, прочитать или удалить сущность, используя её ID.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор сущности. Если установлен, обновляет соответствующую сущность |
Ответы
200: OK.
POST /identity/entity/id/{id}
ID операции: entity-update-by-id.
Обновить, прочитать или удалить сущность, используя её ID.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор сущности. Если установлен, обновляет соответствующую сущность |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disabled |
boolean | нет | Если установлено значение true, то токены, привязанные к этой идентификации, не смогут быть использованы (но не будут отозваны) |
metadata |
object | нет | Метаданные, которые должны быть связаны с сущностью. В CLI этот параметр может повторяться несколько раз, и все они будут объединены вместе. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
name |
string | нет | Название организации |
policies |
array | нет | Политики должны быть привязаны к организации |
Ответы
200: OK.
DELETE /identity/entity/id/{id}
ID операции: entity-delete-by-id.
Обновить, прочитать или удалить сущность, используя её ID.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор сущности. Если установлен, обновляет соответствующую сущность |
Ответы
204: пустое тело.
POST /identity/entity/merge
ID операции: entity-merge.
Слияние двух или более организаций.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
conflicting_alias_ids_to_keep |
array | нет | Идентификаторы алиасыов, которые следует сохранить в случае конфликтующих алиасыов. Игнорируется, если конфликтующие алиасы не найдены |
force |
boolean | нет | Установка этого параметра будет следовать стратегии ‘mine’ для слияния секретов MFA. Если секреты одного типа есть как в сущностях, из которых происходит слияние, так и в сущности, в которую сливаются все остальные, секреты в пункте назначения не будут изменены. Если значение не задано, этот API выдаст ошибку, содержащую все конфликты |
from_entity_ids |
array | нет | Идентификаторы сущностей, которые необходимо объединить |
to_entity_id |
string | нет | Идентификатор сущности, в которую должны быть объединены все остальные сущности |
Ответы
200: OK.
GET /identity/entity/name
ID операции: entity-list-by-name.
Отображает все имена сущностей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/entity/name/{name}
ID операции: entity-read-by-name.
Обновление, чтение или удаление сущности по имени сущности.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название организации |
Ответы
200: OK.
POST /identity/entity/name/{name}
ID операции: entity-update-by-name.
Обновление, чтение или удаление сущности по имени сущности.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название организации |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disabled |
boolean | нет | Если установлено значение true, то токены, привязанные к этой идентификации, не смогут быть использованы (но не будут отозваны) |
id |
string | нет | Идентификатор сущности. Если установлен, обновляет соответствующую сущность |
metadata |
object | нет | Метаданные, которые должны быть связаны с сущностью. В CLI этот параметр может повторяться несколько раз, и все они будут объединены вместе. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
policies |
array | нет | Политики должны быть привязаны к организации |
Ответы
200: OK.
DELETE /identity/entity/name/{name}
ID операции: entity-delete-by-name.
Обновление, чтение или удаление сущности по имени сущности.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название организации |
Ответы
204: пустое тело.
POST /identity/group
ID операции: group-create.
Создайте новую группу.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
id |
string | нет | Идентификатор группы. Если установлен, обновляет соответствующую группу |
member_entity_ids |
array | нет | Идентификаторы субъектов, которые будут назначены в качестве членов группы |
member_group_ids |
array | нет | Идентификаторы групп, которые будут назначены в качестве членов группы |
metadata |
object | нет | Метаданные, которые должны быть связаны с группой. В CLI этот параметр можно повторить несколько раз, и все они будут объединены. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
name |
string | нет | Название групп. |
policies |
array | нет | Политика должна быть привязана к группе |
type |
string | нет | Тип группы, “внутренняя” или “внешняя”. По умолчанию - ‘внутренняя’ |
Ответы
200: OK.
POST /identity/group-alias
ID операции: group-create-alias.
Создает новый групповой алиасы или обновляет существующий.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
canonical_id |
string | нет | Идентификатор группы, для которой это алиасы |
id |
string | нет | Идентификатор алиаса группы |
mount_accessor |
string | нет | Идентификатор точки монтирования, которой принадлежит этот алиасы |
name |
string | нет | Псевдоним группы |
Ответы
200: OK.
GET /identity/group-alias/id
ID операции: group-list-aliases-by-id.
Список всех идентификаторов алиасыов групп.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/group-alias/id/{id}
ID операции: group-read-alias-by-id.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор алиаса группы |
Ответы
200: OK.
POST /identity/group-alias/id/{id}
ID операции: group-update-alias-by-id.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор алиаса группы |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
canonical_id |
string | нет | Идентификатор группы, для которой это алиасы |
mount_accessor |
string | нет | Идентификатор точки монтирования, которой принадлежит этот алиасы |
name |
string | нет | Псевдоним группы |
Ответы
200: OK.
DELETE /identity/group-alias/id/{id}
ID операции: group-delete-alias-by-id.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор алиаса группы |
Ответы
204: пустое тело.
GET /identity/group/id
ID операции: group-list-by-id.
Список всех идентификаторов групп.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/group/id/{id}
ID операции: group-read-by-id.
Обновить или удалить существующую группу, используя её ID.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор группы. Если установлен, обновляет соответствующую группу |
Ответы
200: OK.
POST /identity/group/id/{id}
ID операции: group-update-by-id
Обновить или удалить существующую группу, используя её ID.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор группы. Если установлен, обновляет соответствующую группу |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
member_entity_ids |
array | нет | Идентификаторы субъектов, которые будут назначены в качестве членов группы |
member_group_ids |
array | нет | Идентификаторы групп, которые будут назначены в качестве членов группы |
metadata |
object | нет | Метаданные, которые должны быть связаны с группой. В CLI этот параметр можно повторить несколько раз, и все они будут объединены. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
name |
string | нет | Название группы |
policies |
array | нет | Политика должна быть привязана к группе |
type |
string | нет | Тип группы, “внутренняя” или “внешняя”. По умолчанию - ‘внутренняя’ |
Ответы
200: OK.
DELETE /identity/group/id/{id}
ID операции: group-delete-by-id.
Обновить или удалить существующую группу, используя её ID.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор группы. Если установлен, обновляет соответствующую группу |
Ответы
204: пустое тело.
GET /identity/group/name
ID операции: group-list-by-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/group/name/{name}
ID операции: group-read-by-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название группы |
Ответы
200: OK.
POST /identity/group/name/{name}
ID операции: group-update-by-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название группы |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
id |
string | нет | Идентификатор группы. Если установлен, обновляет соответствующую группу |
member_entity_ids |
array | нет | Идентификаторы субъектов, которые будут назначены в качестве членов группы |
member_group_ids |
array | нет | Идентификаторы групп, которые будут назначены в качестве членов группы |
metadata |
object | нет | Метаданные, которые должны быть связаны с группой. В CLI этот параметр можно повторить несколько раз, и все они будут объединены. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
policies |
array | нет | Политика должна быть привязана к группе |
type |
string | нет | Тип группы, “внутренняя” или “внешняя”. По умолчанию - ‘внутренняя’ |
Ответы
200: OK.
DELETE /identity/group/name/{name}
ID операции: group-delete-by-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название группы |
Ответы
204: пустое тело.
POST /identity/lookup/entity
ID операции: entity-look-up.
Запрос сущности на основе различных свойств.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alias_id |
string | нет | Идентификатор алиаса |
alias_mount_accessor |
string | нет | Аксессор монтирования, к которому принадлежит алиасы. Его следует указывать вместе с ‘alias_name’ |
alias_name |
string | нет | Имя алиаса. Его следует указывать в сочетании с ‘alias_mount_accessor’ |
id |
string | нет | Идентификатор сущности |
name |
string | нет | Название организации |
Ответы
200: OK.
POST /identity/lookup/group
ID операции: group-look-up.
Запрос группы на основе различных свойств.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alias_id |
string | нет | Идентификатор алиаса |
alias_mount_accessor |
string | нет | Аксессор монтирования, к которому принадлежит алиасы. Его следует указывать вместе с ‘alias_name’ |
alias_name |
string | нет | Имя алиаса. Его следует указывать в сочетании с ‘alias_mount_accessor’ |
id |
string | нет | Идентификатор группы |
name |
string | нет | Название группы |
Ответы
200: OK.
GET /identity/mfa/login-enforcement
ID операции: mfa-list-login-enforcements.
Список принудительных мер по входу в систему.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/mfa/login-enforcement/{name}
ID операции: mfa-read-login-enforcement.
Считывает текущий логин
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя для этой конфигурации обеспечения входа в систему |
Ответы
200: OK.
POST /identity/mfa/login-enforcement/{name}
ID операции: mfa-write-login-enforcement
Создает или обновляет принудительный вход в систему
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя для конфигурации обеспечения входа в систему |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
auth_method_accessors |
array | нет | Массив идентификаторов аксессоров монтирования auth |
auth_method_types |
array | нет | Массив типов монтирования аутентификации |
identity_entity_ids |
array | нет | Массив идентификаторов субъектов идентификации |
identity_group_ids |
array | нет | Массив идентификаторов групп идентификации |
mfa_method_ids |
array | да | Массив идентификаторов методов, определяющих, какие методы будут применяться |
Ответы
200: OK.
DELETE /identity/mfa/login-enforcement/{name}
ID операции: mfa-delete-login-enforcement.
Удаление принудительного входа в систему.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя для этой конфигурации обеспечения входа в систему |
Ответы
204: пустое тело.
GET /identity/mfa/method
ID операции: mfa-list-methods.
Список конфигураций методов MFA для всех методов MFA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/mfa/method/duo
ID операции: mfa-list-duo-methods.
Список конфигураций методов MFA для метода MFA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/mfa/method/duo/{method_id}
ID операции: mfa-read-duo-method-configuration.
Прочитайте текущую конфигурацию для метода MFA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для метода MFA |
Ответы
200: OK.
POST /identity/mfa/method/duo/{method_id}
ID операции: mfa-configure-duo-method.
Обновить или создать конфигурацию для данного MFA метода.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для метода MFA |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
api_hostname |
string | нет | Имя хоста API для Duo |
integration_key |
string | нет | Ключ интеграции для Duo |
method_name |
string | нет | Уникальный идентификатор имени для метода MFA |
push_info |
string | нет | Информация о нажатии для Дуо |
secret_key |
string | нет | Секретный ключ для Дуо |
use_passcode |
boolean | нет | Если значение равно true, то при проверке MFA пользователю будет напоминаться о необходимости использования пароля. Этот параметр не принуждает к использованию пароля. По умолчанию установлено значение false |
username_format |
string | нет | Строка-шаблон для сопоставления имен идентификаторов с именами методов MFA. Значения для подстановки должны быть помещены в {{}}. Например, “{{alias.name}}@example.com”. Поддерживаемые в настоящее время сопоставления: alias.name: имя, возвращаемое монтированием, настроенным через параметр mount_accessor Если пусто, поле имени алиаса будет использоваться как есть |
Ответы
200: OK.
DELETE /identity/mfa/method/duo/{method_id}
ID операции: mfa-delete-duo-method.
Удаляет конфигурацию для метода MFA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для метода MFA |
Ответы
204: пустое тело.
GET /identity/mfa/method/okta
ID операции: mfa-list-okta-methods.
Список конфигураций методов MFA для метода MFA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/mfa/method/okta/{method_id}
ID операции: mfa-read-okta-method-configuration.
Прочитайте текущую конфигурацию для метода MFA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для метода MFA |
Ответы
200: OK.
POST /identity/mfa/method/okta/{method_id}
ID операции: mfa-configure-okta-method.
Обновить или создать конфигурацию для данного MFA метода.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для метода MFA |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
api_token |
string | нет | Ключ API Okta |
base_url |
string | нет | Базовый домен, используемый для API Okta. Если он не указан в конфигурации, используется “okta.com” |
method_name |
string | нет | Уникальный идентификатор имени для метода MFA |
org_name |
string | нет | Название организации, которое будет использоваться в Okta API |
primary_email |
boolean | нет | Если значение равно true, имя пользователя будет соответствовать только основному электронному адресу учетной записи. По умолчанию установлено значение false |
production |
boolean | нет | (DEPRECATED) Вместо этого используйте base_url |
username_format |
string | нет | Строка-шаблон для сопоставления имен идентификаторов с именами методов MFA. Заменяемые значения должны быть помещены в {{}}. Например, “{{entity.name}}@example.com”. Если поле имени сущности пустое, оно будет использоваться как есть |
Ответы
200: OK.
DELETE /identity/mfa/method/okta/{method_id}
ID операции: mfa-delete-okta-method.
Удаляет конфигурацию для метода MFA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для метода MFA |
Ответы
204: пустое тело.
GET /identity/mfa/method/pingid
ID операции: mfa-list-ping-id-methods.
Список конфигураций методов MFA для метода MFA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/mfa/method/pingid/{method_id}
ID операции: mfa-read-ping-id-method-configuration.
Прочитайте текущую конфигурацию для метода MFA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для метода MFA |
Ответы
200: OK.
POST /identity/mfa/method/pingid/{method_id}
ID операции: mfa-configure-ping-id-method.
Обновить или создать конфигурацию для данного MFA метода.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для метода MFA |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
method_name |
string | нет | Уникальный идентификатор имени для метода MFA |
settings_file_base64 |
string | нет | Файл настроек, предоставляемый Ping, в Base64-кодировке. Это должен быть файл настроек, подходящий для сторонних клиентов, а не для PingID SDK или PingFederate |
username_format |
string | нет | Строка-шаблон для сопоставления имен идентификаторов с именами методов MFA. Значения для подстановки должны быть помещены в {{}}. Например, “{{alias.name}}@example.com”. Поддерживаемые в настоящее время сопоставления: alias.name: имя, возвращаемое монтированием, настроенным через параметр mount_accessor Если пусто, поле имени алиаса будет использоваться как есть |
Ответы
200: OK.
DELETE /identity/mfa/method/pingid/{method_id}
ID операции: mfa-delete-ping-id-method.
Удаляет конфигурацию для метода MFA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для метода MFA |
Ответы
204: пустое тело.
GET /identity/mfa/method/totp
ID операции: mfa-list-totp-methods.
Список конфигураций методов MFA для метода MFA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
POST /identity/mfa/method/totp/admin-destroy
ID операции: mfa-admin-destroy-totp-secret
Уничтожает TOTP-секрет для данного идентификатора метода MFA на данной сущности.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
entity_id |
string | да | Идентификатор объекта, из которого необходимо удалить секрет метода MFA |
method_id |
string | да | Уникальный идентификатор для метода MFA |
Ответы
200: OK.
POST /identity/mfa/method/totp/admin-generate
ID операции: mfa-admin-generate-totp-secret.
Обновить или создать TOTP-секрет для данного идентификатора метода на указанной сущности.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
entity_id |
string | да | Идентификатор сущности, на которой должен храниться созданный секрет |
method_id |
string | да | Уникальный идентификатор для метода MFA |
Ответы
200: OK.
POST /identity/mfa/method/totp/generate
ID операции: mfa-generate-totp-secret.
Обновить или создать TOTP-секрет для данного идентификатора метода на указанной сущности.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
method_id |
string | да | Уникальный идентификатор для метода MFA |
Ответы
200: OK.
GET /identity/mfa/method/totp/{method_id}
ID операции: mfa-read-totp-method-configuration.
Прочитайте текущую конфигурацию для метода MFA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для метода MFA |
Ответы
200: OK.
POST /identity/mfa/method/totp/{method_id}
ID операции: mfa-configure-totp-method.
Обновить или создать конфигурацию для данного MFA метода.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для метода MFA |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: SHA1) | нет | Алгоритм хэширования, используемый для генерации токена TOTP. Варианты включают SHA1, SHA256 и SHA512 |
digits |
integer (default: 6) | нет | Количество цифр в генерируемом TOTP-токене. Это значение может быть либо 6, либо 8 |
issuer |
string | нет | Название организации, выдавшей ключ |
key_size |
integer (default: 20) | нет | Определяет размер в байтах генерируемого ключа |
max_validation_attempts |
integer | нет | Максимальное количество допустимых попыток проверки. |
method_name |
string | нет | Уникальный идентификатор имени для метода MFA |
period |
integer (default: 30) | нет | Длительность времени, используемого для генерации счетчика для расчета токена TOTP |
qr_size |
integer (default: 200) | нет | Размер пикселя генерируемого квадратного QR-кода |
skew |
integer (default: 1) | нет | Количество периодов задержки, допустимых при проверке токена TOTP. Это значение может быть либо 0, либо 1 |
Ответы
200: OK.
DELETE /identity/mfa/method/totp/{method_id}
ID операции: mfa-delete-totp-method.
Удаляет конфигурацию для метода MFA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для метода MFA |
Ответы
204: пустое тело.
GET /identity/mfa/method/{method_id}
ID операции: mfa-read-method-configuration.
Прочитайте текущую конфигурацию для данного ID независимо от типа метода MFA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для метода MFA |
Ответы
200: OK.
GET /identity/oidc/.well-known/keys
ID операции: oidc-read-public-keys.
Получение открытых ключей.
Доступен без аутентификации: да.
Ответы
200: OK.
GET /identity/oidc/.well-known/openid-configuration
ID операции: oidc-read-open-id-configuration.
Запрос настроек OIDC.
Доступен без аутентификации: да.
Ответы
200: OK.
GET /identity/oidc/assignment
ID операции: oidc-list-assignments.
Список назначений OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/oidc/assignment/{name}
ID операции: oidc-read-assignment.
Операции CRUD для назначений OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название задания |
Ответы
200: OK.
POST /identity/oidc/assignment/{name}
ID операции: oidc-write-assignment.
Операции CRUD для назначений OIDC.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название задания |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
entity_ids |
array | нет | Строка или массив идентификаторов субъектов идентификации, разделенные запятыми |
group_ids |
array | нет | Строка или массив идентификаторов групп идентификации, разделенные запятыми |
Ответы
200: OK.
DELETE /identity/oidc/assignment/{name}
ID операции: oidc-delete-assignment.
Операции CRUD для назначений OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название задания |
Ответы
204: пустое тело.
GET /identity/oidc/client
ID операции: oidc-list-clients.
Список клиентов OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/oidc/client/{name}
ID операции: oidc-read-client.
Операции CRUD для клиентов OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя клиента. |
Ответы
200: OK.
POST /identity/oidc/client/{name}
ID операции: oidc-write-client.
Операции CRUD для клиентов OIDC.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя клиента |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
access_token_ttl |
integer (default: 24h) | нет | Время жизни токенов доступа, полученных клиентом |
assignments |
array | нет | Строка или массив ресурсов назначения, разделенные запятыми |
client_type |
string (default: confidential) | нет | Тип клиента зависит от его способности сохранять конфиденциальность учетных данных. Поддерживаются следующие типы клиентов: ‘конфиденциальный’, ‘публичный’. По умолчанию используется значение ‘конфиденциальный’ |
id_token_ttl |
integer (default: 24h) | нет | Время жизни ID-токенов, полученных клиентом |
key |
string (default: default) | нет | Ссылка на ресурс именованного ключа. Не может быть изменена после создания. По умолчанию используется ключ ‘default’ |
redirect_uris |
array | нет | Разделенная запятыми строка или массив URI перенаправления, используемых клиентом. Одно из этих значений должно точно соответствовать значению параметра redirect_uri, используемому в каждом запросе аутентификации |
Ответы
200: OK.
DELETE /identity/oidc/client/{name}
ID операции: oidc-delete-client
Операции CRUD для клиентов OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя клиента |
Ответы
204: пустое тело.
GET /identity/oidc/config
ID операции: oidc-read-configuration
Конфигурация OIDC.
Ответы
200: OK.
POST /identity/oidc/config
ID операции: oidc-configure
Конфигурация OIDC,
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
issuer |
string | нет | URL-адрес эмитента, который будет использоваться в утверждении iss токена. Если он не задан, будет использоваться app_addr. |
Ответы
200: OK.
POST /identity/oidc/introspect
ID операции: oidc-introspect.
Проверить подлинность OIDC токена.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
client_id |
string | нет | Необязательный идентификатор клиента для проверки |
token |
string | нет | Токен для проверки |
Ответы
200: OK.
GET /identity/oidc/key
ID операции: oidc-list-keys.
Список ключей OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/oidc/key/{name}
ID операции: oidc-read-key.
Операции CRUD для ключей OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
Ответы
200: OK.
POST /identity/oidc/key/{name}
ID операции: oidc-write-key.
Операции CRUD для ключей OIDC.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: RS256) | нет | Используемый алгоритм подписи. По умолчанию используется RS256 |
allowed_client_ids |
array | нет | Строка или массив идентификаторов клиентов ролей, которым разрешено использовать этот ключ для подписи, разделенные запятыми. Если пусто, то ни одна роль не разрешена. Если “*”, то разрешены все роли |
rotation_period |
integer (default: 24h) | нет | Как часто генерировать новую пару ключей |
verification_ttl |
integer (default: 24h) | нет | Контролирует, как долго открытая часть ключа будет доступна для проверки после ротации |
Ответы
200: OK.
DELETE /identity/oidc/key/{name}
ID операции: oidc-delete-key.
Операции CRUD для ключей OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
Ответы
204: пустое тело.
POST /identity/oidc/key/{name}/rotate
ID операции: oidc-rotate-key.
Поверните именованный OIDC-ключ.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
verification_ttl |
integer | нет | Определяет, как долго открытая часть ключа будет доступна для проверки после поворота. Установка verification_ttl здесь отменяет verification_ttl, установленный для ключа |
Ответы
200: OK.
GET /identity/oidc/provider
ID операции: oidc-list-providers.
Список провайдеров OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
allowed_client_id |
string | query | нет | Фильтрует список провайдеров OIDC до тех, которые допускают заданный идентификатор клиента в своем наборе разрешенных_клиентских_идентификаторов |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/oidc/provider/{name}
ID операции: oidc-read-provider.
Операции CRUD для провайдеров OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Ответы
200: OK.
POST /identity/oidc/provider/{name}
ID операции: oidc-write-provider.
Операции CRUD для провайдеров OIDC.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_client_ids |
array | нет | Идентификаторы клиентов, которым разрешено использовать провайдера |
issuer |
string | нет | Указывает, что будет использоваться для утверждения идентификационных токенов iss |
scopes_supported |
array | нет | Области, поддерживаемые для запросов к провайдеру |
Ответы
200: OK.
DELETE /identity/oidc/provider/{name}
ID операции: oidc-delete-provider.
Операции CRUD для провайдеров OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Ответы
204: пустое тело.
GET /identity/oidc/provider/{name}/.well-known/keys
ID операции: oidc-read-provider-public-keys.
Получение открытых ключей.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Ответы
200: OK.
GET /identity/oidc/provider/{name}/.well-known/openid-configuration
ID операции: oidc-read-provider-open-id-configuration.
Запрос настроек OIDC.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Ответы
200: OK.
GET /identity/oidc/provider/{name}/authorize
ID операции: oidc-provider-authorize.
Предоставляет конечную точку авторизации OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Ответы
200: OK.
POST /identity/oidc/provider/{name}/authorize
ID операции: oidc-provider-authorize-with-parameters.
Предоставляет конечную точку авторизации OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
client_id |
string | да | Идентификатор запрашивающего клиента |
code_challenge |
string | нет | Кодовый вызов, полученный от верификатора кода |
code_challenge_method |
string (default: plain) | нет | Метод, который был использован для получения кода вызова. Поддерживаются следующие методы: ‘S256’, ‘plain’. По умолчанию используется ‘plain’ |
max_age |
integer | нет | Допустимое время в секундах, прошедшее с момента последней активной аутентификации конечного пользователя |
nonce |
string | нет | Значение, которое будет возвращено в утверждении ID token nonce после обмена токенами |
redirect_uri |
string | да | URI перенаправления, на который будет отправлен ответ |
response_type |
string | да | Используемый поток аутентификации OIDC. Поддерживаются следующие типы ответов: ‘code’ |
scope |
string | да | Ограниченный пробелами, чувствительный к регистру список областей, которые необходимо запросить. Область ‘openid’ является обязательной |
state |
string | нет | Значение, используемое для сохранения состояния между запросом аутентификации и клиентом |
Ответы
200: OK.
POST /identity/oidc/provider/{name}/token
ID операции: oidc-provider-token.
Предоставляет конечную точку токена OIDC.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
client_id |
string | нет | Идентификатор запрашивающего клиента |
client_secret |
string | нет | Секрет запрашивающего клиента |
code |
string | да | Код авторизации, полученный от конечной точки авторизации провайдера |
code_verifier |
string | нет | Верификатор кода, связанный с кодом авторизации |
grant_type |
string | да | Тип гранта авторизации. Поддерживаются следующие типы грантов: ‘authorization_code’ |
redirect_uri |
string | да | Место обратного вызова, куда был отправлен ответ аутентификации |
Ответы
200: OK.
GET /identity/oidc/provider/{name}/userinfo
ID операции: oidc-provider-user-info.
Предоставляет конечную точку UserInfo OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Ответы
200: OK.
POST /identity/oidc/provider/{name}/userinfo
ID операции: oidc-provider-user-info2.
Предоставляет конечную точку UserInfo OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Ответы
200: OK.
GET /identity/oidc/role
ID операции: oidc-list-roles.
Список настроенных ролей OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/oidc/role/{name}
ID операции: oidc-read-role.
Операции CRUD на ролях OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
Ответы
200: OK.
POST /identity/oidc/role/{name}
ID операции: oidc-write-role.
Операции CRUD на ролях OIDC.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
client_id |
string | нет | Необязательный идентификатор клиента |
key |
string | да | Ключ OIDC, который будет использоваться для генерации токенов. Указанный ключ должен уже существовать |
template |
string | нет | Строка шаблона, используемая для генерации токенов. Это может быть строка в формате JSON или base64 |
ttl |
integer (default: 24h) | нет | TTL токенов, сгенерированных против роли |
Ответы
200: OK.
DELETE /identity/oidc/role/{name}
ID операции: oidc-delete-role.
Операции CRUD на ролях OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
Ответы
204: пустое тело.
GET /identity/oidc/scope
ID операции: oidc-list-scopes.
Список областей OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/oidc/scope/{name}
ID операции: oidc-read-scope.
Операции CRUD для областей OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название области действия |
Ответы
200: OK.
POST /identity/oidc/scope/{name}
ID операции: oidc-write-scope.
Операции CRUD для областей OIDC.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название области действия |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
description |
string | нет | Описание сферы применения |
template |
string | нет | Строка шаблона, которую следует использовать для области видимости. Это может быть строка в формате JSON или base64 |
Ответы
200: OK.
DELETE /identity/oidc/scope/{name}
ID операции: oidc-delete-scope.
Операции CRUD для областей OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название области действия |
Ответы
204: пустое тело.
GET /identity/oidc/token/{name}
ID операции: oidc-generate-token.
Создайте токен OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
Ответы
200: OK.
POST /identity/persona
ID операции: persona-create.
Создайте новый алиасы.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
entity_id |
string | нет | Идентификатор сущности, к которой принадлежит эта персона |
id |
string | нет | Идентификатор персоны |
metadata |
object | нет | Метаданные, которые должны быть связаны с персоной. В CLI этот параметр можно повторять несколько раз, и все они будут объединены. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
mount_accessor |
string | нет | Идентификатор точки монтирования, к которому принадлежит эта персона |
name |
string | нет | Имя персоны |
Ответы
200: OK.
GET /identity/persona/id
ID операции: persona-list-by-id.
Список всех идентификаторов алиасыов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /identity/persona/id/{id}
ID операции: persona-read-by-id.
Обновить, прочитать или удалить идентификатор алиаса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор персоны |
Ответы
200: OK.
POST /identity/persona/id/{id}
ID операции: persona-update-by-id.
Обновить, прочитать или удалить идентификатор алиаса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор персоны |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
entity_id |
string | нет | Идентификатор сущности, к которой должна быть привязана эта персона |
metadata |
object | нет | Метаданные, которые должны быть связаны с персоной. В CLI этот параметр можно повторять несколько раз, и все они будут объединены. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
mount_accessor |
string | нет | Идентификатор точки монтирования, к которому принадлежит эта персона |
name |
string | нет | Имя персоны |
Ответы
200: OK.
DELETE /identity/persona/id/{id}
ID операции: persona-delete-by-id.
Обновить, прочитать или удалить идентификатор алиаса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор персоны |
Ответы
204: пустое тело.
secrets
GET /cubbyhole/{path}
ID операции: cubbyhole-read.
Получение секрета в указанном месте.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Указывает путь к секрету |
list |
string | query | нет | Возвращает список, если true |
Ответы
200: OK.
POST /cubbyhole/{path}
ID операции: cubbyhole-write.
Сохраните секрет в указанном месте.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Указывает путь к секрету |
Ответы
200: OK.
DELETE /cubbyhole/{path}
ID операции: cubbyhole-delete.
Удаляет секрет в указанном месте.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Указывает путь к секрету |
Ответы
204: пустое тело.
GET /{database_mount_path}/config
ID операции: database-list-connections.
Настраивает параметры подключения к плагину базы данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /{database_mount_path}/config/{name}
ID операции: database-read-connection-configuration.
Настраивает параметры подключения к плагину базы данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя этого соединения с базой данных |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{database_mount_path}/config/{name}
ID операции: database-configure-connection
Настраивает параметры подключения к плагину базы данных.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя этого соединения с базой данных |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_roles |
array | нет | Строка или массив имен ролей, которым разрешено получать кредиты из этого соединения с базой данных, разделенные запятыми. Если пусто, то ни одна роль не разрешена. Если “*”, то разрешены все роли |
password_policy |
string | нет | Политика паролей, используемая при генерации паролей |
plugin_name |
string | нет | Имя встроенного или ранее зарегистрированного плагина, известного в vault. Этот метод создаст экземпляр плагина этого типа |
plugin_version |
string | нет | Версия используемого плагина |
root_rotation_statements |
array | нет | Указывает операторы базы данных, которые должны быть выполнены для ротации учетных данных пользователя root. Дополнительную информацию о поддержке и форматировании этого параметра см. на странице API плагина |
verify_connection |
boolean (default: True) | нет | Если true, то данные о соединении проверяются путем фактического подключения к базе данных. По умолчанию установлено значение true |
Ответы
200: OK.
DELETE /{database_mount_path}/config/{name}
ID операции: database-delete-connection-configuration.
Настраивает параметры подключения к плагину базы данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя этого соединения с базой данных |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /{database_mount_path}/creds/{name}
ID операции: database-generate-credentials.
Запрос учетных данных базы данных для определенной роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{database_mount_path}/reset/{name}
ID операции: database-reset-connection.
Сбрасывает плагин базы данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя этого соединения с базой данных |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{database_mount_path}/roles
ID операции: database-list-roles.
Управление ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /{database_mount_path}/roles/{name}
ID операции: database-read-role.
Управление ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{database_mount_path}/roles/{name}
ID операции: database-write-role.
Управление ролями, которые могут быть созданы с помощью этого бэкенда.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
creation_statements |
array | нет | Указывает операторы базы данных, выполняемые для создания и настройки пользователя. Дополнительные сведения о поддержке и форматировании этого параметра см. на странице API плагина |
credential_config |
object | нет | Конфигурация для данного credential_type |
credential_type |
string (default: password) | нет | Тип учетных данных для управления. Варианты включают: ‘password’, ‘rsa_private_key’. По умолчанию выбрано значение ‘password’ |
db_name |
string | нет | Имя базы данных, на которую действует эта роль. |
default_ttl |
integer | нет | Ttl по умолчанию для роли |
max_ttl |
integer | нет | Максимальное время действия учетной записи |
renew_statements |
array | нет | Определяет операторы базы данных, которые должны быть выполнены для обновления пользователя. Не все типы плагинов поддерживают эту функциональность. Дополнительную информацию о поддержке и форматировании этого параметра см. на странице API плагина |
revocation_statements |
array | нет | Указывает операторы базы данных, которые должны быть выполнены для отзыва пользователя. Дополнительные сведения о поддержке и форматировании этого параметра см. на странице API плагина |
rollback_statements |
array | нет | Указывает операторы базы данных, которые будут выполняться для отката операции создания в случае ошибки. Не все типы плагинов поддерживают эту функциональность. Дополнительную информацию о поддержке и форматировании этого параметра см. на странице API плагина |
Ответы
200: OK.
DELETE /{database_mount_path}/roles/{name}
ID операции: database-delete-role.
Управление ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /{database_mount_path}/rotate-role/{name}
ID операции: database-rotate-static-role-credentials.
Запрос на изменение учетных данных для статической учетной записи пользователя.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя статической роли |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{database_mount_path}/rotate-root/{name}
ID операции: database-rotate-root-credentials.
Запрос на изменение учетных данных root для определенного соединения с базой данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя этого соединения с базой данных |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{database_mount_path}/static-creds/{name}
ID операции: database-read-static-role-credentials.
Возвращает учетные данные базы данных для указанной статической роли. Учетные данные подлежат периодической ротации.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя статической роли |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{database_mount_path}/static-roles
ID операции: database-list-static-roles.
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /{database_mount_path}/static-roles/{name}
ID операции: database-read-static-role.
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{database_mount_path}/static-roles/{name}
ID операции: database-write-static-role.
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
credential_config |
object | нет | Конфигурация для данного credential_type |
credential_type |
string (default: password) | нет | Тип учетных данных для управления. Варианты включают: ‘password’, ‘rsa_private_key’. По умолчанию выбрано значение ‘password’ |
db_name |
string | нет | Имя базы данных, на которую действует эта роль |
rotation_period |
integer | нет | Период автоматической ротации учетных данных для данного имени пользователя. Недействителен, если не используется вместе с “username” |
rotation_statements |
array | нет | Указывает операторы базы данных, которые будут выполняться для ротации учетных данных. Не все типы плагинов поддерживают эту функциональность. Дополнительную информацию о поддержке и форматировании этого параметра см. на странице API плагина |
username |
string | нет | Имя статической учетной записи пользователя для управления Vault. Требуется указать “rotation_period” |
Ответы
200: OK.
DELETE /{database_mount_path}/static-roles/{name}
ID операции: database-delete-static-role.
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /{kubernetes_mount_path}/check
ID операции: kubernetes-check-configuration.
Проверяет, действительна ли конфигурация Kubernetes.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{kubernetes_mount_path}/config
ID операции: kubernetes-read-configuration.
Настроить плагин секретного механизма Kubernetes.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{kubernetes_mount_path}/config
ID операции: kubernetes-configure.
Настроить плагин секретного механизма Kubernetes.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disable_local_ca_jwt |
boolean (default: False) | нет | Отключите использование по умолчанию сертификата локального центра сертификации и JWT учетной записи службы при запуске в стручке Kubernetes |
kubernetes_ca_cert |
string | нет | Сертификат ЦС в кодировке PEM, используемый для проверки сертификата сервера Kubernetes API. По умолчанию используется ЦС локального пода, если он найден |
kubernetes_host |
string | нет | URL-адрес API Kubernetes для подключения. По умолчанию https://$KUBERNETES_SERVICE_HOST:KUBERNETES_SERVICE_PORT, если эти переменные окружения установлены |
service_account_jwt |
string | нет | Веб-токен JSON учетной записи службы, используемой механизмом secret engine для управления учетными данными Kubernetes. По умолчанию используется JWT локального пода, если он найден |
Ответы
200: OK.
DELETE /{kubernetes_mount_path}/config
ID операции: kubernetes-delete-configuration.
Настроить плагин секретного механизма Kubernetes.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /{kubernetes_mount_path}/creds/{name}
ID операции: kubernetes-generate-credentials.
Запросите учетные данные учетной записи службы Kubernetes для данной роли Vault.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя роли хранилища |
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
audiences |
array | нет | Целевая аудитория созданных учетных данных |
cluster_role_binding |
boolean | нет | Если true, создайте ClusterRoleBinding для предоставления прав по всему кластеру, а не внутри пространства имен. Требуется, чтобы роль Vault имела для kubernetes_role_type значение ClusterRole |
kubernetes_namespace |
string | да | Имя пространства имен Kubernetes, в котором будут генерироваться учетные данные |
ttl |
integer | нет | TTL сгенерированных учетных данных |
Ответы
200: OK.
GET /{kubernetes_mount_path}/roles
ID операции: kubernetes-list-roles.
Отображает существующие роли в этом механизме секретов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /{kubernetes_mount_path}/roles/{name}
ID операции: kubernetes-read-role.
Управляйте ролями, которые можно создать с помощью этого механизма секретов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{kubernetes_mount_path}/roles/{name}
ID операции: kubernetes-write-role.
Управляйте ролями, которые можно создать с помощью этого механизма секретов.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_kubernetes_namespace_selector |
string | нет | Селектор меток для пространств имен Kubernetes, в которых могут быть сгенерированы учетные данные. Принимает объект в формате JSON или YAML. Если задан с allowed_kubernetes_namespaces, применяются оба условия |
allowed_kubernetes_namespaces |
array | нет | Список пространств имен Kubernetes, в которых могут быть сгенерированы учетные данные. Если установлено значение “*”, разрешены все пространства имен |
extra_annotations |
object | нет | Дополнительные аннотации для применения ко всем сгенерированным объектам Kubernetes |
extra_labels |
object | нет | Дополнительные метки, которые будут применяться ко всем созданным объектам Kubernetes |
generated_role_rules |
string | нет | Правила Role или ClusterRole, которые следует использовать при генерации роли. Принимает объект в формате JSON или YAML. Если установлено, будет сгенерирована вся цепочка объектов Kubernetes |
kubernetes_role_name |
string | нет | Существующая роль или роль кластера (ClusterRole), к которой следует привязать созданную учетную запись сервиса. Если задано, будут созданы объекты привязки токена Kubernetes, учетной записи сервиса и роли |
kubernetes_role_type |
string (default: Role) | нет | Указывает, является ли роль Kubernetes ролью или ClusterRole |
name_template |
string | нет | Шаблон имени, используемый при генерации учетных записей служб, ролей и привязок ролей. Если значение не задано, используется шаблон по умолчанию |
service_account_name |
string | нет | Существующая учетная запись службы, для которой нужно сгенерировать токены. Взаимоисключающее значение со всеми параметрами роли. Если установлено, будет создан токен только учетной записи сервиса Kubernetes |
token_default_audiences |
array | нет | Аудитория по умолчанию для генерируемых токенов учетных записей служб Kubernetes. Если не задано или задано значение “”, будет использоваться кластерная аудитория k8s по умолчанию |
token_default_ttl |
integer | нет | Значение ttl по умолчанию для генерируемых токенов учетных записей служб Kubernetes. Если не задано или установлено в 0, будет использоваться системное значение по умолчанию |
token_max_ttl |
integer | нет | Максимальный ttl для генерируемых токенов учетных записей служб Kubernetes. Если не задано или установлено в 0, будет использоваться системное значение по умолчанию |
Ответы
200: OK.
DELETE /{kubernetes_mount_path}/roles/{name}
ID операции: kubernetes-delete-role.
Управляйте ролями, которые можно создать с помощью этого механизма секретов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /{kv_v1_mount_path}/{path}
ID операции: kv-v1-read.
Передача секретного хранилища в бэкенд хранилища, что позволяет читать/записывать произвольные данные в секретное хранилище.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета |
kv_v1_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string | query | нет | Возвращает список, если true |
Ответы
200: OK.
POST /{kv_v1_mount_path}/{path}
ID операции: kv-v1-write.
Передача секретного хранилища в бэкенд хранилища, что позволяет читать/записывать произвольные данные в секретное хранилище.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета |
kv_v1_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
DELETE /{kv_v1_mount_path}/{path}
ID операции: kv-v1-delete.
Передача секретного хранилища в бэкенд хранилища, что позволяет читать/записывать произвольные данные в секретное хранилище.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета |
kv_v1_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /{kv_v2_mount_path}/config
ID операции: kv-v2-read-configuration.
Считывает настройки уровня бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cas_required |
boolean | нет | Если значение равно true, бэкенд будет требовать установки параметра cas для каждой записи |
delete_version_after |
integer | нет | Длительность времени до удаления версии |
max_versions |
integer | нет | Количество версий для каждого ключа |
POST /{kv_v2_mount_path}/config
ID операции: kv-v2-configure.
Настраивает параметры уровня бэкенда, которые применяются к каждому ключу в хранилище ключевых значений.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cas_required |
boolean | нет | Если значение равно true, бэкенд будет требовать установки параметра cas для каждой записи |
delete_version_after |
integer | нет | Если задано, длительность периода времени до удаления версии. Отрицательное значение длительности отключает использование delete_version_after для всех ключей. Нулевая длительность очищает текущую настройку. Принимает строку формата Go duration. |
max_versions |
integer | нет | Количество версий, которые следует хранить для каждого ключа. По умолчанию 10 |
Ответы
204: пустое тело.
GET /{kv_v2_mount_path}/data/{path}
ID операции: kv-v2-read.
Запись, обновление, чтение и удаление данных в хранилище Key-Value.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
data |
object | нет | |
metadata |
object | нет |
POST /{kv_v2_mount_path}/data/{path}
ID операции: kv-v2-write.
Запись, обновление, чтение и удаление данных в хранилище Key-Value.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
data |
object | нет | Содержимое карты данных будет сохранено и возвращено при чтении |
options |
object | нет | Параметры для записи записи KV. Установите значение “cas”, чтобы использовать операцию проверки и установки. Если значение не установлено, запись будет разрешена. Если установлено значение 0, запись будет разрешена, только если ключ не существует. Если индекс ненулевой, запись будет разрешена только в том случае, если текущая версия ключа совпадает с версией, указанной в параметре cas |
override_version |
integer | нет | Только репликация |
version |
integer | нет | Если указано при чтении, будет возвращено значение с номером версии |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
created_time |
string | нет | |
custom_metadata |
object | нет | |
deletion_time |
string | нет | |
destroyed |
boolean | нет | |
version |
integer | нет |
DELETE /{kv_v2_mount_path}/data/{path}
ID операции: kv-v2-delete.
Запись, обновление, чтение и удаление данных в хранилище Key-Value.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /{kv_v2_mount_path}/delete/{path}
ID операции: kv-v2-delete-versions.
Отмечает одну или несколько версий как удаленные в хранилище KV.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
versions |
array | нет | Версии, которые будут архивироваться. Данные с версиями не будут удалены, но они больше не будут возвращаться в обычных запросах на получение |
Ответы
204: пустое тело.
POST /{kv_v2_mount_path}/destroy/{path}
ID операции: kv-v2-destroy-versions.
Навсегда удаляет одну или несколько версий в хранилище KV.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
versions |
array | нет | Версии для уничтожения. Их данные будут удалены навсегда |
Ответы
204: пустое тело.
GET /{kv_v2_mount_path}/metadata/{path}
ID операции: kv-v2-read-metadata.
Настраивает параметры для хранилища KV.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string | query | нет | Возвращает список, если true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cas_required |
boolean | нет | |
created_time |
string | нет | |
current_version |
integer | нет | |
custom_metadata |
object | нет | Предоставленные пользователем пары ключ-значение, которые используются для описания произвольной и не зависящей от версии информации о секрете |
delete_version_after |
integer | нет | Длительность времени до удаления версии |
last_sync_time |
string | нет | |
max_versions |
integer | нет | Количество версий для хранения |
oldest_version |
integer | нет | |
updated_time |
string | нет | |
versions |
object | нет |
POST /{kv_v2_mount_path}/metadata/{path}
ID операции: kv-v2-write-metadata
Настраивает параметры для хранилища KV.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cas_required |
boolean | нет | Если true, ключ будет требовать установки параметра cas при всех запросах на запись. Если false, то будет использоваться конфигурация бэкенда |
custom_metadata |
object | нет | Предоставленные пользователем пары ключ-значение, которые используются для описания произвольной и не зависящей от версии информации о секрете |
delete_version_after |
integer | нет | Время, в течение которого версия будет удалена. Если не задано, используется сконфигурированное значение delete_version_after бэкенда. Не может быть больше, чем delete_version_after бэкенда. Нулевая длительность очищает текущее значение. Отрицательное значение длительности приведет к ошибке |
max_versions |
integer | нет | Количество версий, которые следует хранить. Если не задано, используется максимальная версия, настроенная бэкендом |
Ответы
204: пустое тело.
DELETE /{kv_v2_mount_path}/metadata/{path}
ID операции: kv-v2-delete-metadata
Настраивает параметры для хранилища KV.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /{kv_v2_mount_path}/subkeys/{path}
ID операции: kv-v2-read-subkeys
Прочитайте структуру секретной записи из хранилища Key-Value с удаленными значениями.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
metadata |
object | нет | |
subkeys |
object | нет |
POST /{kv_v2_mount_path}/undelete/{path}
ID операции: kv-v2-undelete-versions.
Восстанавливает одну или несколько версий из хранилища KV.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
versions |
array | нет | Версии для разархивирования. Версии будут восстановлены, и их данные будут возвращаться при обычных запросах get |
Ответы
204: пустое тело.
GET /{ldap_mount_path}/config
ID операции: ldap-read-configuration.
Настроить плагин секретного механизма LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{ldap_mount_path}/config
ID операции: ldap-configure.
Настроить плагин секретного механизма LDAP.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание | ||
|---|---|---|---|---|---|
anonymous_group_search |
boolean (default: False) | нет | Использовать анонимную привязку при поиске групп LDAP (если true, исходные учетные данные все равно будут использоваться для первоначальной проверки соединения) | ||
binddn |
string | нет | LDAP DN для поиска DN пользователя (необязательно) | ||
bindpass |
string | нет | Пароль LDAP для поиска DN пользователя (необязательно) | ||
case_sensitive_names |
boolean | нет | Если значение равно true, то при сравнении имен пользователей и групп для сопоставления политик будет использоваться чувствительность к регистру | ||
certificate |
string | нет | Сертификат CA для использования при проверке сертификата сервера LDAP, должен быть в кодировке x509 PEM (необязательно) | ||
client_tls_cert |
string | нет | Сертификат клиента для предоставления серверу LDAP, должен быть закодирован x509 PEM (необязательно) | ||
client_tls_key |
string | нет | Ключ сертификата клиента для предоставления серверу LDAP, должен быть закодирован x509 PEM (необязательно) | ||
connection_timeout |
integer (default: 30s) | нет | Тайм-аут (в секундах) при попытке подключения к серверу LDAP перед попыткой перехода к следующему URL-адресу в конфигурации | ||
deny_null_bind |
boolean (default: True) | нет | Отклоняет неаутентифицированный запрос привязки LDAP, если пароль пользователя пуст; значение по умолчанию равно true | ||
dereference_aliases |
string (never, finding, searching, always) (default: never) | нет | Определяет, когда алиасы должны разыменовываться при операциях поиска. Возможные значения: never (никогда), finding (при поиске объекта), searching (при поиске), always (всегда). По умолчанию: never | ||
discoverdn |
boolean | нет | Используйте анонимную привязку, чтобы узнать привязочный DN пользователя (необязательно) | ||
groupattr |
string (default: cn) | нет | Атрибут LDAP, который следует использовать для объектов, возвращаемых |
||
groupdn |
string | нет | База поиска LDAP, используемая для поиска членства в группе (например: ou=Groups,dc=example,dc=org) | ||
groupfilter |
string (default: ( | (memberUid={{.Username}})(member={{.UserDN}})(uniqueMember={{.UserDN}}))) | нет | Шаблон Go для запроса принадлежности пользователя к группе (необязательно) Шаблон может обращаться к следующим контекстным переменным: UserDN, Username Пример: (&(objectClass=group)(member:1.2.840.113556.1.4.1941:={{.UserDN}})) По умолчанию: ( | (memberUid={{.Username}})(member={.UserDN}})(uniqueMember={.UserDN}})) |
insecure_tls |
boolean | нет | Пропустите проверку SSL-сертификата сервера LDAP - ОЧЕНЬ небезопасно (необязательно) | ||
length |
integer | нет | ⚠️ Устарело. Желаемая длина паролей, которые генерирует Vault | ||
max_page_size |
integer (default: 0) | нет | Если установлено значение больше 0, бэкенд LDAP будет использовать управление постраничным поиском сервера LDAP для запроса страниц до заданного размера. Это можно использовать, чтобы избежать столкновения с ограничением максимального размера результатов сервера LDAP. В противном случае бэкенд LDAP не будет использовать управление постраничным поиском | ||
max_ttl |
integer | нет | Максимальное время жизни пароля. | ||
password_policy |
string | нет | Политика паролей, используемая для генерации паролей | ||
request_timeout |
integer (default: 90s) | нет | Тайм-аут в секундах для соединения при выполнении запросов к серверу до возврата ошибки | ||
schema |
string (default: openldap) | нет | Желаемая схема LDAP, используемая при изменении паролей учетных записей пользователей | ||
starttls |
boolean | нет | Выполнять команду StartTLS после установления незашифрованного соединения (необязательно) | ||
tls_max_version |
string (tls10, tls11, tls12, tls13) (default: tls12) | нет | Максимальная версия TLS для использования. Принимаемые значения: ‘tls10’, ‘tls11’, ‘tls12’ или ‘tls13’. По умолчанию - ‘tls12’ | ||
tls_min_version |
string (tls10, tls11, tls12, tls13) (default: tls12) | нет | Минимальная версия TLS для использования. Принимаемые значения: ‘tls10’, ‘tls11’, ‘tls12’ или ‘tls13’. По умолчанию используется значение ‘tls12’ | ||
ttl |
integer | нет | Время жизни пароля по умолчанию | ||
upndomain |
string | нет | UPN-домен, используемый для аутентификации пользователя в формате |
||
url |
string (default: ldap://127.0.0.1) | нет | URL-адрес LDAP для подключения (по умолчанию: ldap://127.0.0.1). Можно указать несколько URL-адресов, соединив их запятыми; они будут опробованы в порядке убывания | ||
use_pre111_group_cn_behavior |
boolean | нет | В Vault 1.1.1 исправление для обработки значений CN групп в разных случаях, к сожалению, внесло регрессию, которая могла привести к тому, что ранее определенные группы не были найдены из-за изменения результирующего имени. Если установлено значение true, будет использоваться поведение, существовавшее до версии 1.1.1, для соответствия CN групп. Это необходимо только в некоторых сценариях обновления для обратной совместимости. Она включается по умолчанию, если конфигурация обновляется, но отключается по умолчанию в новых конфигурациях | ||
use_token_groups |
boolean (default: False) | нет | Если значение true, то для поиска членов групп используется построенный атрибут Active Directory tokenGroups пользователя. При этом будут найдены все группы безопасности, включая вложенные | ||
userattr |
string (default: cn) | нет | Атрибут, используемый для пользователей (по умолчанию: cn) | ||
userdn |
string | нет | Домен LDAP, который будет использоваться для пользователей (например: ou=People,dc=example,dc=org) | ||
userfilter |
string (default: ({{.UserAttr}}={{.Username}})) | нет | Шаблон Go для фильтра поиска пользователей LDAP (необязательно) Шаблон может обращаться к следующим контекстным переменным: UserAttr, Username По умолчанию: ({{.UserAttr}}={{.Username}}) | ||
username_as_alias |
boolean (default: False) | нет | Если true, устанавливает имя алиаса на имя пользователя |
Ответы
200: OK.
DELETE /{ldap_mount_path}/config
ID операции: ldap-delete-configuration.
Настроить плагин секретного механизма LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /{ldap_mount_path}/creds/{name}
ID операции: ldap-request-dynamic-role-credentials.
Запросите учетные данные LDAP для динамической роли. Эти учетные данные создаются в системе LDAP при запросе к этой конечной точке.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя динамической роли |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{ldap_mount_path}/library
ID операции: ldap-library-list.
Отображает имена каждого набора учетных записей служб, хранящихся в данный момент.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
POST /{ldap_mount_path}/library/manage/{name}/check-in
ID операции: ldap-library-force-check-in.
Проверить учетные записи служб в библиотеке.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя записи в библиотеке LDAP |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
service_account_names |
array | нет | Имя пользователя/имя входа в систему для учетных записей служб для регистрации |
Ответы
200: OK.
GET /{ldap_mount_path}/library/{name}
ID операции: ldap-library-read.
Считывает объект библиотеки.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название объекта библиотеки |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{ldap_mount_path}/library/{name}
ID операции: ldap-library-configure.
Обновление набора библиотек.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название объекта библиотеки |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disable_check_in_enforcement |
boolean (default: False) | нет | Отключает правило, при котором выполнить возврат (check-in) учетных данных может только та сущность, которая их получила (check-out) |
max_ttl |
integer (default: 86400) | нет | В секундах - максимальное время продления регистрации. По умолчанию - 24 часа |
service_account_names |
array | нет | Имя пользователя/имя входа для учетных записей служб, с которыми будет связан этот объект |
ttl |
integer (default: 86400) | нет | Время жизни учетных данных в секундах. По умолчанию — 24 часа |
Ответы
200: OK.
DELETE /{ldap_mount_path}/library/{name}
ID операции: ldap-library-delete.
Удаление объекта библиотек.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название набора |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /{ldap_mount_path}/library/{name}/check-in
ID операции: ldap-library-check-in.
Проверить учетные записи служб в библиотеке.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название набора |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
service_account_names |
array | нет | Имя пользователя/имя входа в систему для учетных записей служб для регистрации |
Ответы
200: OK.
POST /{ldap_mount_path}/library/{name}/check-out
ID операции: ldap-library-check-out.
Резервирует сервисную учетную запись из библиотеки на заданное время.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название объекта |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ttl |
integer | нет | Продолжительность времени до истечения срока регистрации, в секундах. |
Ответы
200: OK.
GET /{ldap_mount_path}/library/{name}/status
ID операции: ldap-library-check-status.
Проверка состояния учетных записей служб в наборе библиотек.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название набора |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{ldap_mount_path}/role
ID операции: ldap-list-dynamic-roles.
Список всех динамических ролей, которыми в настоящее время управляет Vault в LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /{ldap_mount_path}/role/{name}
ID операции: ldap-read-dynamic-role.
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя роли (в нижнем регистре) |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{ldap_mount_path}/role/{name}
ID операции: ldap-write-dynamic-role.
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя роли (в нижнем регистре) |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
creation_ldif |
string | да | Строка LDIF, используемая для создания новых сущностей в системе LDAP. Этот LDIF может быть шаблонным |
default_ttl |
integer | нет | TTL по умолчанию для динамических учетных данных |
deletion_ldif |
string | да | Строка LDIF, используемая для удаления сущностей, созданных в системе LDAP. Этот LDIF может быть шаблонным |
max_ttl |
integer | нет | Максимальное время TTL динамического мандата |
rollback_ldif |
string | нет | LDIF-строка, используемая для отката изменений в случае сбоя при создании учетных данных. Этот LDIF может быть шаблонным |
username_template |
string | нет | Шаблон, используемый для создания имени пользователя |
Ответы
200: OK.
DELETE /{ldap_mount_path}/role/{name}
ID операции: ldap-delete-dynamic-role.
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя роли (в нижнем регистре) |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /{ldap_mount_path}/rotate-role/{name}
ID операции: ldap-rotate-static-role.
Запрос на изменение учетных данных для статической учетной записи пользователя.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя статической роли |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{ldap_mount_path}/rotate-root
ID операции: ldap-rotate-root-credentials.
Запросите обновление корневых учетных данных, которые Vault использует для учетной записи администратора LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{ldap_mount_path}/static-cred/{name}
ID операции: ldap-request-static-role-credentials.
Запросите учетные данные LDAP для определенной статической роли. Эти учетные данные регулярно обновляются.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя статической роли |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{ldap_mount_path}/static-role
ID операции: ldap-list-static-roles.
Отображает все статические роли, которыми Vault в настоящее время управляет в системе LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /{ldap_mount_path}/static-role/{name}
ID операции: ldap-read-static-role.
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{ldap_mount_path}/static-role/{name}
ID операции: ldap-write-static-role.
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
dn |
string | нет | Отличительное имя записи, которой нужно управлять |
rotation_period |
integer | нет | Период автоматической смены учетных данных для данной записи |
username |
string | нет | Имя пользователя для записи, с которой будет связана эта роль |
Ответы
200: OK.
DELETE /{ldap_mount_path}/static-role/{name}
ID операции: ldap-delete-static-role.
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /{pki_mount_path}/acme/account/{kid}
ID операции: pki-write-acme-account-kid.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kid |
string | path | да | Идентификатор ключа, предоставленный центром сертификации |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/acme/authorization/{auth_id}
ID операции: pki-write-acme-authorization-auth_id.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/acme/challenge/{auth_id}/{challenge_type}
ID операции: pki-write-acme-challenge-auth_id-challenge_type.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
challenge_type |
string | path | да | Тип вызова ACME |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
GET /{pki_mount_path}/acme/directory
ID операции: pki-read-acme-directory.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{pki_mount_path}/acme/new-account
ID операции: pki-write-acme-new-account.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/acme/new-eab
ID операции: pki-generate-eab-key.
Создайте привязки внешней учетной записи для использования в ACME.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_directory |
string | нет | Каталог ACME, которому принадлежит ключ |
created_on |
string | нет | Дата и время в формате RFC3339, когда был создан EAB токен |
id |
string | нет | Идентификатор ключа EAB |
key |
string | нет | Ключ EAB hmac |
key_type |
string | нет | Тип ключа EAB |
GET /{pki_mount_path}/acme/new-nonce
ID операции: pki-read-acme-new-nonce.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{pki_mount_path}/acme/new-order
ID операции: pki-write-acme-new-order.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/acme/order/{order_id}
ID операции: pki-write-acme-order-order_id.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id |
string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/acme/order/{order_id}/cert
ID операции: pki-write-acme-order-order_id-cert.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id |
string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/acme/order/{order_id}/finalize
ID операции: pki-write-acme-order-order_id-finalize.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id |
string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/acme/orders
ID операции: pki-write-acme-orders.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/acme/revoke-cert
ID операции: pki-write-acme-revoke-cert.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
GET /{pki_mount_path}/ca
ID операции: pki-read-ca-der.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/ca/pem
ID операции: pki-read-ca-pem.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/ca_chain
ID операции: pki-read-ca-chain-pem.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/ca_chain
ID операции: pki-read-cert-ca-chain.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/crl
ID операции: pki-read-cert-crl.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/delta-crl
ID операции: pki-read-cert-delta-crl.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/unified-crl
ID операции: pki-read-cert-unified-crl.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/unified-delta-crl
ID операции: pki-read-cert-unified-delta-crl.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/{serial}
ID операции: pki-read-cert.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
serial |
string | path | да | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/{serial}/raw
ID операции: pki-read-cert-raw-der.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
serial |
string | path | да | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/{serial}/raw/pem
ID операции: pki-read-cert-raw-pem.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
serial |
string | path | да | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
| ————————- | ——- | ———— | ——————————- |
| ca_chain | string | нет | Выдающая Цепочка CA |
| certificate | string | нет | Сертификат |
| issuer_id | string | нет | Идентификатор издателя |
| revocation_time | integer | нет | Время отзыва |
| revocation_time_rfc3339 | string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/certs
ID операции: pki-list-certs.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | Список ключей |
GET /{pki_mount_path}/certs/revocation-queue
ID операции: pki-list-certs-revocation-queue.
Отображает все ожидающие межкластерные отзывы, известные локальному кластеру.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /{pki_mount_path}/certs/revoked
ID операции: pki-list-revoked-certs.
Список всех отозванных серийных номеров в локальном кластере.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | Список Ключей |
GET /{pki_mount_path}/certs/unified-revoked
ID операции: pki-list-unified-revoked-certs.
Отображает все отозванные серийные номера в области унифицированного хранилища этого кластера.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_info |
string | нет | Информация о ключе |
keys |
array | нет | Список ключей |
GET /{pki_mount_path}/config/acme
ID операции: pki-read-acme-configuration.
Конфигурация конечных точек ACME.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{pki_mount_path}/config/acme
ID операции: pki-configure-acme.
Конфигурация конечных точек ACME.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_role_ext_key_usage |
boolean (default: False) | нет | используется ли поле ExtKeyUsage из роли, по умолчанию false означает, что сертификат будет подписан с помощью ServerAuth |
allowed_issuers |
array (default: [‘*’]) | нет | какие эмитенты разрешены для использования с ACME; по умолчанию это будет только основной (по умолчанию) эмитент |
allowed_roles |
array (default: [‘*’]) | нет | какие роли разрешены для использования с ACME; по умолчанию через ‘*’ это будут все роли, включая sign-verbatim; когда указаны конкретные имена ролей, должна быть включена роль default_directory_policy, чтобы разрешить использование стандартных каталогов acme в /pki/acme/directory и /pki/issuer/:issuer_id/acme/directory |
default_directory_policy |
string (default: sign-verbatim) | нет | политика, которая будет использоваться для запросов ACME без ролевых квалификаций; по умолчанию выдача ACME будет неограниченной, эквивалентной конечной точке sign-verbatim; можно также указать роль для использования в качестве этой политики, как “role: |
dns_resolver |
string (default: ) | нет | DNS-резольвер, используемый для разрешения доменов на этом монтировании. По умолчанию используется системный резолвер по умолчанию. Должен иметь формат |
eab_policy |
string (default: always-required) | нет | Укажите политику, которая будет использоваться для поведения привязки внешнего аккаунта: “не требуется”, “требуется для нового аккаунта” или “требуется всегда” |
enabled |
boolean (default: False) | нет | включена ли поддержка ACME, по умолчанию false означает, что кластеры по умолчанию не будут получать поддержку ACME |
Ответы
200: OK.
GET /{pki_mount_path}/config/auto-tidy
ID операции: pki-read-auto-tidy-configuration.
Изменяет текущую конфигурацию для автоматического выполнения tidy.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_safety_buffer |
integer | нет | Буфер безопасности после создания, после которого аккаунты, у которых нет заказов, будут отозваны |
enabled |
boolean | нет | Указывает, включена ли автоматическая чистка |
interval_duration |
integer | нет | Указывает продолжительность между автоматической операцией чистки |
issuer_safety_buffer |
integer | нет | Буфер безопасности издателя |
maintain_stored_certificate_counts |
boolean | нет | Включает учет количества сохраненных сертификатов |
pause_duration |
string | нет | Время паузы между упорядочиванием сертификатов |
publish_stored_certificate_count_metrics |
boolean | нет | Публикует метрики количества сохраненных сертификатов |
revocation_queue_safety_buffer |
integer | нет | Буфер безопасности очереди отзыва |
safety_buffer |
integer | нет | Длительность временного буфера безопасности |
tidy_acme |
boolean | нет | Очистка неиспользуемых аккаунтов и заказов Acme |
tidy_cert_store |
boolean | нет | Указывает, следует ли организовать хранилище сертификатов |
tidy_cross_cluster_revoked_certs |
boolean | нет | Очистка отозванных сертификатов между кластерами |
tidy_expired_issuers |
boolean | нет | Указывает, были ли вычищены истекшие издатели |
tidy_move_legacy_ca_bundle |
boolean | нет | |
tidy_revocation_queue |
boolean | нет | |
tidy_revoked_cert_issuer_associations |
boolean | нет | Указывает, следует ли связывать отозванные сертификаты с их соответствующими издателями |
tidy_revoked_certs |
boolean | нет | Указывает, следует ли удалять из хранилища все недействительные и истекшие сертификаты |
POST /{pki_mount_path}/config/auto-tidy
ID операции: pki-configure-auto-tidy.
Изменяет текущую конфигурацию для автоматического выполнения tidy.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
| —————————————— | ————————— | ———— |————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————-|
| acme_account_safety_buffer | integer (default: 2592000) | нет | Количество времени, которое должно пройти после создания, чтобы аккаунт, не имеющий заказов, был помечен как отозванный, а также количество времени после того, как он был помечен как отозванный или деактивированный |
| enabled | boolean | нет | Установите значение true, чтобы включить автоматическое наведение порядка |
| interval_duration | integer (default: 43200) | нет | Интервал, через который следует выполнять операцию автоочистки. Это время между вызовами автоочистки (после завершения одной до начала следующей). Запуск ручной уборки сбросит эту длительность |
| issuer_safety_buffer | integer (default: 31536000) | нет | Количество дополнительного времени, которое должно пройти после истечения срока действия эмитента, прежде чем он будет удален из внутреннего хранилища. По умолчанию 8760 часов (1 год) |
| maintain_stored_certificate_counts | boolean (default: False) | нет | Здесь настраивается, подсчитываются ли хранящиеся сертификаты при инициализации бэкенда, а также ведется ли текущий подсчет хранящихся сертификатов во время нормальной работы |
| pause_duration | string (default: 0s) | нет | Количество времени ожидания между сертификатами обработки. Это позволяет операторам изменять профиль выполнения tidy, чтобы он потреблял меньше ресурсов, замедляя время выполнения. Обратите внимание, что весь список сертификатов будет храниться в памяти в течение всей операции tidy, но ресурсы для чтения/обработки/обновления существующих записей будут распределены на больший промежуток времени. По умолчанию это ноль секунд |
| publish_stored_certificate_count_metrics | boolean (default: False) | нет | Это настраивает, будет ли хранимый счетчик сертификатов публиковаться потребителю метрик. Это не влияет на то, поддерживается ли хранимый счетчик сертификатов, и если поддерживается, то он будет доступен на конечной точке tidy-status |
| revocation_queue_safety_buffer | integer (default: 172800) | нет | Количество времени, которое должно пройти с момента инициирования межкластерного запроса на отзыв до момента, когда он будет отправлен на удаление. Слишком низкое значение этого параметра может привести к удалению действительных запросов на отзыв до того, как кластер-владелец успеет их обработать, особенно если кластер находится в автономном режиме |
| safety_buffer | integer (default: 259200) | нет | Количество дополнительного времени, которое должно пройти после истечения срока действия сертификата, чтобы он был удален из внутреннего хранилища и/или списка отзыва. По умолчанию 72 часа |
| tidy_acme | boolean (default: False) | нет | Установите значение true, чтобы включить очистку счетов, заказов и авторизаций ACME. Заказы ACME убираются (удаляются) safety_buffer после истечения срока действия связанного с ними сертификата, или после истечения срока действия заказа и соответствующих авторизаций, если сертификат не был изготовлен. Авторизации удаляются вместе с соответствующим заказом. Когда возраст действующего аккаунта ACME составляет не менее acme_account_safety_buffer, и у него не остается связанных с ним заказов, аккаунт помечается как отозванный. После того как с даты отзыва или деактивации пройдет еще один буфер безопасности acme_account_safety_buffer, отозванный или деактивированный аккаунт ACME удаляется |
| tidy_cert_store | boolean | нет | Установите значение true, чтобы разрешить очистку хранилища сертификатов |
| tidy_cross_cluster_revoked_certs | boolean | нет | Установите значение true, чтобы включить очистку межкластерного хранилища отозванных сертификатов. Запускается только на активном основном узле |
| tidy_expired_issuers | boolean | нет | Установите значение true для автоматического удаления истекших эмитентов из буфера issuer_safety_buffer. Никакие ключи не будут удалены в ходе этой операции |
| tidy_move_legacy_ca_bundle | boolean | нет | Установите значение true, чтобы переместить устаревший ca_bundle из /config/ca_bundle в /config/ca_bundle.bak. Это предотвращает переход на версии до Vault 1.11 (поскольку старые PKI-движки не знают о новой схеме хранения нескольких эмитентов), но улучшает производительность при монтировании PKI с печатью. Это произойдет только в том случае, если после первоначального переноса хранилища прошло не менее issuer_safety_buffer времени. Этот резерв сохраняется на случай возникновения проблем в будущих миграциях. При желании операторы могут удалить ее через sys/raw. Резервная копия будет удалена вызовом DELETE /root, но обратите внимание, что при этом удаляются ВСЕ эмитенты в пределах монтирования (и, следовательно, это нежелательно в большинстве сценариев работы)|
| tidy_revocation_list | boolean | нет | Утратил силу; синоним для ‘tidy_revoked_certs |
| tidy_revocation_queue | boolean (default: False) | нет | Установите значение true, чтобы удалить устаревшие записи очереди отзыва, которые не были подтверждены ни одним активным кластером. Запускается только на активном основном узле |
| tidy_revoked_cert_issuer_associations | boolean | нет | Установите значение true для проверки ассоциаций эмитентов в записях отзыва. Это помогает повысить производительность создания CRL и ответов OCSP |
| tidy_revoked_certs` | boolean | нет | Установите значение true, чтобы прекратить действие всех отозванных и просроченных сертификатов, удалив их как из CRL, так и из хранилища. CRL будет ротирован, если это приведет к удалению каких-либо значений |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_safety_buffer |
integer | нет | Буфер безопасности после создания, после которого аккаунты, у которых нет заказов, будут отозваны |
enabled |
boolean | нет | Указывает, включена ли автоматическая чистка |
interval_duration |
integer | нет | Указывает продолжительность между автоматической операцией чистки |
issuer_safety_buffer |
integer | нет | Буфер безопасности издателя |
maintain_stored_certificate_counts |
boolean | нет | |
pause_duration |
string | нет | Время паузы между упорядочиванием сертификатов |
publish_stored_certificate_count_metrics |
boolean | нет | |
revocation_queue_safety_buffer |
integer | нет | |
safety_buffer |
integer | нет | Длительность временного буфера безопасности |
tidy_acme |
boolean | нет | Очистка неиспользуемых аккаунтов и заказов Acme |
tidy_cert_store |
boolean | нет | Указывает, следует ли организовать хранилище сертификатов |
tidy_cross_cluster_revoked_certs |
boolean | нет | Очистка кросс-кластерного хранилища отозванных сертификатов |
tidy_expired_issuers |
boolean | нет | Указывает, были ли вычищены истекшие издатели |
tidy_move_legacy_ca_bundle |
boolean | нет | |
tidy_revocation_queue |
boolean | нет | |
tidy_revoked_cert_issuer_associations |
boolean | нет | Указывает, следует ли связывать отозванные сертификаты с их соответствующими издателями |
tidy_revoked_certs |
boolean | нет | Указывает, следует ли удалять из хранилища все недействительные и истекшие сертификаты |
POST /{pki_mount_path}/config/ca
ID операции: pki-configure-ca.
Установите сертификат CA и закрытый ключ, используемые для сгенерированных учетных данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pem_bundle |
string | нет | Конкатенированный незашифрованный секретный ключ и сертификат в формате PEM |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
existing_issuers |
array | нет | Существующие издатели, указанные как часть импортируемого пакета этого запроса |
existing_keys |
array | нет | Существующие ключи, указанные как часть импортируемого пакета этого запроса |
imported_issuers |
array | нет | Совсем новые издатели, импортированные в рамках этого запроса |
imported_keys |
array | нет | Совсем новые ключи, импортированные в рамках этого запроса |
mapping |
object | нет | Отображение issuer_id в key_id для всех издателей, включённых в этот запрос |
GET /{pki_mount_path}/config/cluster
ID операции: pki-read-cluster-configuration.
Настройте конфигурацию локального кластера, включая адрес этого PR-кластера.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
aia_path |
string | нет | Необязательный URI точки распространения AIA этого монтирования; может ссылаться на внешний не Vault-ответчик. Предназначен для разрешения AIA URL и предоставления параметра шаблона {{cluster_aia_path}} и не будет использоваться для других целей. В отличие от пути выше, это может быть небезопасный транзитный механизм (например, HTTP без TLS). Например: http://cdn.example.com/pr1/pki |
path |
string | нет | Канонический URI этого монтирования на внешнем адресе кластера репликации производительности. Он используется для разрешения URL-адресов AIA и предоставления параметра шаблона {{cluster_path}}, но в будущем может быть использован для других целей. Этот адрес должен указывать только на данную конкретную реплику PR и никогда не должен указывать на другой кластер PR. Он может указывать на любой узел в реплике PR, включая резервные узлы, и не всегда должен указывать на активный узел. Например: https://pr1.vault.example.com:8200/v1/pki |
POST /{pki_mount_path}/config/cluster
ID операции: pki-configure-cluster.
Настройте конфигурацию локального кластера, включая адрес этого PR-кластера.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
aia_path |
string | нет | Необязательный URI точки распространения AIA этого монтирования; может ссылаться на внешний не Vault-ответчик. Предназначен для разрешения AIA URL и предоставления параметра шаблона {{cluster_aia_path}} и не будет использоваться для других целей. В отличие от пути выше, это может быть небезопасный транзитный механизм (например, HTTP без TLS). Например: http://cdn.example.com/pr1/pki |
path |
string | нет | Канонический URI этого монтирования на внешнем адресе кластера репликации производительности. Он используется для разрешения URL-адресов AIA и предоставления параметра шаблона {{cluster_path}}, но в будущем может быть использован для других целей. Этот адрес должен указывать только на данную конкретную реплику PR и никогда не должен указывать на другой кластер PR. Он может указывать на любой узел в реплике PR, включая резервные узлы, и не всегда должен указывать на активный узел. Например: https://pr1.vault.example.com:8200/v1/pki |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
aia_path |
string | нет | Необязательный URI точки распространения AIA этого монтирования; может ссылаться на внешний не Vault-ответчик. Предназначен для разрешения AIA URL и предоставления параметра шаблона {{cluster_aia_path}} и не будет использоваться для других целей. В отличие от пути выше, это может быть небезопасный транзитный механизм (например, HTTP без TLS). Например: http://cdn.example.com/pr1/pki |
path |
string | нет | Канонический URI этого монтирования на внешнем адресе кластера репликации производительности. Он используется для разрешения URL-адресов AIA и предоставления параметра шаблона {{cluster_path}}, но в будущем может быть использован для других целей. Этот адрес должен указывать только на данную конкретную реплику PR и никогда не должен указывать на другой кластер PR. Он может указывать на любой узел в реплике PR, включая резервные узлы, и не всегда должен указывать на активный узел. Например: https://pr1.vault.example.com:8200/v1/pki |
GET /{pki_mount_path}/config/crl
ID операции: pki-read-crl-configuration.
Настроить срок истечения CRL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
auto_rebuild |
boolean | нет | Если установлено значение true, включается автоматическое восстановление CRL |
auto_rebuild_grace_period |
string | нет | Время до истечения срока действия CRL для его автоматического восстановления, если оно включено. Должно быть меньше, чем срок действия CRL. По умолчанию 12 часов |
cross_cluster_revocation |
boolean | нет | Включать ли глобальную, кросс-кластерную очередь отзыва. Должно использоваться с auto_rebuild=true |
delta_rebuild_interval |
string | нет | Время между дельта-перестройками CRL, если произошел новый отзыв. Должно быть меньше, чем срок действия CRL. По умолчанию 15 м |
disable |
boolean | нет | Если установлено значение true, генерация CRL полностью отключается |
enable_delta |
boolean | нет | Включать ли дельта CRL между перестройками авторитетных CRL |
expiry |
string | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа |
ocsp_disable |
boolean | нет | Если установлено значение true, будут возвращаться неавторизованные ответы ocsp |
ocsp_expiry |
string | нет | Время, в течение которого ответ OCSP будет действителен (контролирует поле NextUpdate); по умолчанию - 12 часов |
unified_crl |
boolean | нет | Если установлено значение true, включается глобальная репликация записей отзыва, а также включается унифицированная версия OCSP и CRL, если соответствующие функции включены. disable для CRL и ocsp_disable для OCSP |
unified_crl_on_existing_paths |
boolean | нет | Если установлено значение true, существующие пути CRL и OCSP будут возвращать унифицированный CRL вместо ответа, основанного на локальных данных кластера |
POST /{pki_mount_path}/config/crl
ID операции: pki-configure-crl.
Настроить срок истечения CRL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
auto_rebuild |
boolean | нет | Если установлено значение true, включается автоматическое восстановление CRL |
auto_rebuild_grace_period |
string (default: 12h) | нет | Время до истечения срока действия CRL для его автоматического восстановления, если оно включено. Должно быть меньше, чем срок действия CRL. По умолчанию 12 часов |
cross_cluster_revocation |
boolean | нет | Включать ли глобальную, кросс-кластерную очередь отзыва. Должно использоваться с auto_rebuild=true |
delta_rebuild_interval |
string (default: 15m) | нет | Время между дельта-перестройками CRL, если произошел новый отзыв. Должно быть меньше, чем срок действия CRL. По умолчанию 15 м |
disable |
boolean | нет | Если установлено значение true, генерация CRL полностью отключается |
enable_delta |
boolean | нет | Включать ли дельта CRL между перестройками авторитетных CRL |
expiry |
string (default: 72h) | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа |
ocsp_disable |
boolean | нет | Если установлено значение true, будут возвращаться неавторизованные ответы ocsp |
ocsp_expiry |
string (default: 1h) | нет | Время, в течение которого ответ OCSP будет действителен (контролирует поле NextUpdate); по умолчанию - 12 часов |
unified_crl |
boolean (default: false) | нет | Если установлено значение true, включается глобальная репликация записей отзыва, а также включается унифицированная версия OCSP и CRL, если соответствующие функции включены. disable для CRL и ocsp_disable для OCSP |
unified_crl_on_existing_paths |
boolean (default: false) | нет | Если установлено значение true, существующие пути CRL и OCSP будут возвращать унифицированный CRL вместо ответа, основанного на локальных данных кластера |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
auto_rebuild |
boolean | нет | Если установлено значение true, включается автоматическое восстановление CRL |
auto_rebuild_grace_period |
string (default: 12h) | нет | Время до истечения срока действия CRL для его автоматического восстановления, если оно включено. Должно быть меньше, чем срок действия CRL. По умолчанию 12 часов |
cross_cluster_revocation |
boolean | нет | Включать ли глобальную, кросс-кластерную очередь отзыва. Должно использоваться с auto_rebuild=true |
delta_rebuild_interval |
string (default: 15m) | нет | Время между дельта-перестройками CRL, если произошел новый отзыв. Должно быть меньше, чем срок действия CRL. По умолчанию 15 м |
disable |
boolean | нет | Если установлено значение true, генерация CRL полностью отключается |
enable_delta |
boolean | нет | Включать ли дельта CRL между перестройками авторитетных CRL |
expiry |
string (default: 72h) | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа |
ocsp_disable |
boolean | нет | Если установлено значение true, будут возвращаться неавторизованные ответы ocsp |
ocsp_expiry |
string (default: 1h) | нет | Время, в течение которого ответ OCSP будет действителен (контролирует поле NextUpdate); по умолчанию - 12 часов |
unified_crl |
boolean | нет | Если установлено значение true, включается глобальная репликация записей отзыва, а также включается унифицированная версия OCSP и CRL, если соответствующие функции включены. disable для CRL и ocsp_disable для OCSP |
unified_crl_on_existing_paths |
boolean | нет | Если установлено значение true, существующие пути CRL и OCSP будут возвращать унифицированный CRL вместо ответа, основанного на локальных данных кластера |
GET /{pki_mount_path}/config/issuers
ID операции: pki-read-issuers-configuration.
Считывание и установка сертификата эмитента по умолчанию для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию |
default_follows_latest_issuer |
boolean | нет | Должен ли эмитент по умолчанию автоматически следовать последнему сгенерированному или импортированному эмитенту. По умолчанию имеет значение false |
POST /{pki_mount_path}/config/issuers
ID операции: pki-configure-issuers.
Считывание и установка сертификата эмитента по умолчанию для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию |
default_follows_latest_issuer |
boolean (default: False) | нет | Должен ли эмитент по умолчанию автоматически следовать последнему сгенерированному или импортированному эмитенту. По умолчанию имеет значение false |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию |
default_follows_latest_issuer |
boolean | нет | Должен ли эмитент по умолчанию автоматически следовать последнему сгенерированному или импортированному эмитенту. По умолчанию имеет значение false |
GET /{pki_mount_path}/config/keys
ID операции: pki-read-keys-configuration.
Считывание и установка ключа по умолчанию, используемого для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию |
POST /{pki_mount_path}/config/keys
ID операции: pki-configure-keys.
Считывание и установка ключа по умолчанию, используемого для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string | нет | Ссылка (имя или идентификатор) на ключ по умолчанию |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию |
GET /{pki_mount_path}/config/urls
ID операции: pki-read-urls-configuration.
Установите URL-адреса для выдачи CA, точек распространения CRL и серверов OCSP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_distribution_points |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута точек распространения CRL. См. также RFC 5280 Раздел 4.2.1.13 |
enable_templating |
boolean | нет | Включить ли шаблонирование вышеуказанных полей AIA. Когда включено шаблонирование, специальные значения ‘{{issuer_id}}’ и ‘{{cluster_path}}’ доступны, но адреса не проверяются на допустимость URI до момента выдачи. Это требует установки пути /config/cluster на всех вторичных кластерах PR |
issuing_certificates |
array | нет | Разделенный запятыми список URL-адресов, которые будут использоваться для атрибута выдавшего сертификат. См. также RFC 5280 Раздел 4.2.2.1 |
ocsp_servers |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута OCSP-серверов. См. также RFC 5280 Раздел 4.2.2.1 |
POST /{pki_mount_path}/config/urls
ID операции: pki-configure-urls.
Установите URL-адреса для выдачи CA, точек распространения CRL и серверов OCSP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_distribution_points |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута точек распространения CRL. См. также RFC 5280 Раздел 4.2.1.13 |
enable_templating |
boolean (default: False) | нет | Включать или не включать шаблонизацию вышеуказанных полей AIA. Когда шаблонизация включена, специальные значения ‘{{issuer_id}}, ‘{{cluster_path}}’ и ‘{{cluster_aia_path}}’ доступны, но адреса не проверяются на валидность URI до момента выдачи. Использование ‘{{cluster_path}}’ требует, чтобы член /config/cluster ‘path’ был установлен на всех кластерах PR Secondary, а использование ‘{{cluster_aia_path}}’ требует, чтобы член /config/cluster ‘aia_path’ был установлен на всех кластерах PR Secondary |
issuing_certificates |
array | нет | Разделенный запятыми список URL-адресов, которые будут использоваться для атрибута выдавшего сертификат. См. также RFC 5280 Раздел 4.2.2.1 |
ocsp_servers |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута OCSP-серверов. См. также RFC 5280 Раздел 4.2.2.1 |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_distribution_points |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута точек распространения CRL. См. также RFC 5280 Раздел 4.2.1.13 |
enable_templating |
boolean (default: False) | нет | Включить ли шаблонирование упомянутых выше полей AIA. Когда шаблонирование включено, доступны специальные значения ‘{{issuer_id}}’ и ‘{{cluster_path}}’, но адреса не проверяются на допустимость URI до момента выдачи. Для этого необходимо задать путь /config/cluster на всех вторичных кластерах PR |
issuing_certificates |
array | нет | Разделенный запятыми список URL-адресов, которые будут использоваться для атрибута выдавшего сертификат. См. также RFC 5280 Раздел 4.2.2.1 |
ocsp_servers |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута OCSP-серверов. См. также RFC 5280 Раздел 4.2.2.1 |
GET /{pki_mount_path}/crl
ID операции: pki-read-crl-der.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/crl/delta
ID операции: pki-read-crl-delta.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/crl/delta/pem
ID операции: pki-read-crl-delta-pem.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: ok.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая цепочка ca |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате rfc 3339 |
GET /{pki_mount_path}/crl/pem
ID операции: pki-read-crl-pem.
Получите центр сертификации, crl, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: ok.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая цепочка ca |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате rfc 3339 |
GET /{pki_mount_path}/crl/rotate
ID операции: pki-rotate-crl.
Принудительное восстановление crl.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: ok.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
success |
boolean | нет | Была ли успешной ротация |
GET /{pki_mount_path}/crl/rotate-delta
ID операции: pki-rotate-delta-crl.
Принудительное восстановление дельта crl.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: ok.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
success |
boolean | нет | Была ли успешной ротация |
GET /{pki_mount_path}/eab
ID операции: pki-list-eab-keys.
список привязок внешних аккаунтов для использования в acme.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: ok.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_info |
object | нет | Подробности eab, обозначенные по идентификатору ключа eab |
keys |
array | нет | Список неиспользованных eab ключей |
DELETE /{pki_mount_path}/eab/{key_id}
ID операции: pki-delete-eab-key.
Удаляет внешний идентификатор привязки учетной записи до его использования в учетной записи acme.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
key_id |
string | path | да | Ключевой идентификатор вцв |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /{pki_mount_path}/intermediate/cross-sign
ID операции: pki-cross-sign-intermediate.
Создайте новую csr и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
add_basic_constraints |
boolean | нет | Добавлять ли расширение Basic Constraints с ca: true Необходимо только в качестве обходного пути в некоторых сценариях совместимости со службами сертификации Active Directory |
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми Может содержать как dns-имена, так и адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names Если не указано при подписании, общее имя будет взято из csr; другие имена все равно должны быть указаны в alt_names или ip_sans |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена dns или темы электронной почты По умолчанию значение false (cn включается) |
exported |
string (internal, external, kms) | нет | Должно быть “internal”, “exported” или “kms” Если установлено значение “exported”, будет возвращен сгенерированный закрытый ключ Это ваш единственный шанс получить закрытый ключ! |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных Может быть “pem”, “der” или “pem_bundle” Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem Если “der”, то значение будет закодировано в base64 По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые ip san, если таковые имеются, в виде списка, разделенного запятыми |
key_bits |
integer (default: 0) | нет | Количество используемых битов Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519 |
key_name |
string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением ‘default’ |
key_ref |
string (default: default) | нет | Ссылка на существующий ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется rsa “rsa” “ec” и “ed25519” - единственные допустимые значения |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms Если тип kms является типом ключа, это поле или managed_key_name является обязательным Игнорируется для других типов |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms Если тип kms является типом ключа, требуется это поле или managed_key_id Игнорируется для других типов |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты Формат значения должен быть задан в формате utc yyyy-mm-ddthh:mm:ssz |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение |
other_sans |
array | нет | Запрошенные другие san, в массиве с форматом <oid>;utf8: |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного der, либо pem-кодированного der Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или pem-кодировку pkcs8 По умолчанию используется значение “der” |
province |
array | нет | Если установлено, Province будет установлена на это значение |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется Описание этого поля см в rfc 4519 Раздел 2.31 ‘serialNumber’ Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя oid 2.5.4.5 Это не влияет на поле серийного номера финального сертификата |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для sha-2-256, 384 для sha-2-384 и 512 для sha-2-512 По умолчанию равно 0 для автоматического определения длины ключа (sha-2-256 для ключей rsa и соответствие размеру кривой для P-кривых NIST) |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия Если не указано, используется ttl по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке Не может быть больше, чем mount max ttl Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации csr для промежуточного ЦС |
uri_sans |
array | нет | Запрашиваемые uri san, если таковые имеются, в виде списка, разделенного запятыми |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
csr |
string | нет | Запрос на подпись сертификата |
key_id |
string | нет | Идентификатор ключа |
private_key |
string | нет | Сгенерированный закрытый ключ |
private_key_type |
string | нет | Указывает формат, используемый для организации закрытого ключа |
POST /{pki_mount_path}/intermediate/set-signed
ID операции: pki-set-signed-intermediate.
Предоставьте подписанный промежуточный сертификат CA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сертификат в формате PEM. Это должен быть сертификат ЦС с открытым ключом, совпадающим с ранее сгенерированным ключом с конечной точки генерации. Дополнительные родительские ЦС могут быть добавлены в пакет по желанию |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
existing_issuers |
array | нет | Существующие издатели, указанные как часть импортируемого пакета этого запроса |
existing_keys |
array | нет | Существующие ключи, указанные как часть импортируемого пакета этого запроса |
imported_issuers |
array | нет | Совсем новые издатели, импортированные в рамках этого запроса |
imported_keys |
array | нет | Совсем новые ключи, импортированные в рамках этого запроса |
mapping |
object | нет | Отображение issuer_id в key_id для всех издателей, включённых в этот запрос |
POST /{pki_mount_path}/issue/{role}
ID операции: pki-issue-with-role.
Запросите сертификат, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается) |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_ref |
string (default: default) | нет | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der” |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1 |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
GET /{pki_mount_path}/issuer/{issuer_ref}
ID операции: pki-read-issuer.
Получение сертификата одного эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка CA |
certificate |
string | нет | Сертификат |
crl_distribution_points |
array | нет | Точки распространения CRL |
enable_aia_url_templating |
boolean | нет | Включено ли шаблонирование для полей AIA |
issuer_id |
string | нет | Идентификатор Издателя |
issuer_name |
string | нет | Имя Издателя |
issuing_certificates |
array | нет | Выдача Сертификатов |
key_id |
string | нет | Идентификатор Ключа |
leaf_not_after_behavior |
string | нет | Поведение Листа Не После |
manual_chain |
array | нет | Ручная цепочка |
ocsp_servers |
array | нет | OCSP-серверы |
revocation_signature_algorithm |
string | нет | Revocation Signature Alogrithm |
revocation_time |
integer | нет | |
revocation_time_rfc3339 |
string | нет | |
revoked |
boolean | нет | Отменен |
usage |
string | нет | Использование |
POST /{pki_mount_path}/issuer/{issuer_ref}
ID операции: pki-write-issuer.
Получение сертификата одного эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_distribution_points |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута точек распространения CRL. См. также RFC 5280 Раздел 4.2.1.13 |
enable_aia_url_templating |
boolean (default: False) | нет | Включать или не включать шаблонизацию вышеуказанных полей AIA. Когда шаблонизация включена, специальные значения ‘{{issuer_id}}, ‘{{cluster_path}}’, ‘{{cluster_aia_path}}’ доступны, но адреса не проверяются на валидность URL до момента выдачи. Использование ‘{{cluster_path}}’ требует, чтобы член /config/cluster ‘path’ был установлен на всех кластерах PR Secondary, а использование ‘{{cluster_aia_path}}’ требует, чтобы член /config/cluster ‘aia_path’ был установлен на всех кластерах PR Secondary |
issuer_name |
string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением ‘default’ |
issuing_certificates |
array | нет | Разделенный запятыми список URL-адресов, которые будут использоваться для атрибута выдавшего сертификат. См. также RFC 5280 Раздел 4.2.2.1 |
leaf_not_after_behavior |
string (default: err) | нет | Поведение полей NotAfter листа: “err” - ошибка, если вычисленная дата NotAfter превышает дату данного эмитента; “truncate” - молчаливое усечение до даты данного эмитента; или “permit” - разрешение на успешную выдачу (с NotAfter, превышающей дату данного эмитента). Обратите внимание, что не все значения приводят к сертификатам, которые могут быть проверены в течение всего срока действия. Рекомендуется использовать “truncate” для промежуточных ЦС и “permit” только для корневых ЦС |
manual_chain |
array | нет | Цепочка ссылок на эмитента, используемая для построения вычисляемого поля CAChain этого эмитента, если она не пуста |
ocsp_servers |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута OCSP-серверов. См. также RFC 5280 Раздел 4.2.2.1 |
revocation_signature_algorithm |
string (default: ) | нет | Имя x509.SignatureAlgorithm, которое будет использоваться для подписания CRL. Этот параметр позволяет различать ключи PKCS#1v1.5 и PSS и выбирать хэш-алгоритм подписи. По умолчанию (пустая строка) Go должен сам выбрать алгоритм подписи. Это может привести к ошибке, если базовый ключ не поддерживает запрашиваемый алгоритм подписи, который может быть неизвестен на момент модификации (например, в случае ключей RSA с управлением PKCS#11) |
usage |
array (default: [‘read-only’, ‘issuing-certificates’, ‘crl-signing’, ‘ocsp-signing’]) | нет | Разделенный запятыми список (или фрагмент строки) применений для данного эмитента; допустимые значения: “только для чтения”, “выдача сертификатов”, “crl-подписание” и “ocsp-подписание”. Можно указать несколько значений. Значение “только для чтения” является неявным и всегда устанавливается |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка CA |
certificate |
string | нет | Сертификат |
crl_distribution_points |
array | нет | Точки распространения CRL |
enable_aia_url_templating |
boolean | нет | Включено ли шаблонирование для полей AIA |
issuer_id |
string | нет | Идентификатор Издателя |
issuer_name |
string | нет | Имя Издателя |
issuing_certificates |
array | нет | Выдача Сертификатов |
key_id |
string | нет | Идентификатор Ключа |
leaf_not_after_behavior |
string | нет | Поведение Листа Не После |
manual_chain |
array | нет | Ручная цепочка |
ocsp_servers |
array | нет | OCSP-серверы |
revocation_signature_algorithm |
string | нет | Revocation Signature Alogrithm |
revocation_time |
integer | нет | |
revocation_time_rfc3339 |
string | нет | |
revoked |
boolean | нет | Отменен |
usage |
string | нет | Использование |
DELETE /{pki_mount_path}/issuer/{issuer_ref}
ID операции: pki-delete-issuer.
Получение сертификата одного эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/account/{kid}
ID операции: pki-write-issuer-issuer_ref-acme-account-kid.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
kid |
string | path | да | Идентификатор ключа, предоставленный центром сертификации |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/authorization/{auth_id}
ID операции: pki-write-issuer-issuer_ref-acme-authorization-auth_id.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/challenge/{auth_id}/{challenge_type}
ID операции: pki-write-issuer-issuer_ref-acme-challenge-auth_id-challenge_type.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
challenge_type |
string | path | да | Тип вызова ACME |
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
GET /{pki_mount_path}/issuer/{issuer_ref}/acme/directory
ID операции: pki-read-issuer-issuer_ref-acme-directory.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/new-account
ID операции: pki-write-issuer-issuer_ref-acme-new-account.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/new-eab
ID операции: pki-generate-eab-key-for-issuer.
Создайте привязки внешней учетной записи для использования в ACME.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_directory |
string | нет | Каталог ACME, которому принадлежит ключ |
created_on |
string | нет | Дата и время в формате RFC3339, когда был создан EAB токен |
id |
string | нет | Идентификатор ключа EAB |
key |
string | нет | Ключ EAB hmac |
key_type |
string | нет | Тип ключа EAB |
GET /{pki_mount_path}/issuer/{issuer_ref}/acme/new-nonce
ID операции: pki-read-issuer-issuer_ref-acme-new-nonce.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/new-order
ID операции: pki-write-issuer-issuer_ref-acme-new-order.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/order/{order_id}
ID операции: pki-write-issuer-issuer_ref-acme-order-order_id.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id |
string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/order/{order_id}/cert
ID операции: pki-write-issuer-issuer_ref-acme-order-order_id-cert.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id |
string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/order/{order_id}/finalize
ID операции: pki-write-issuer-issuer_ref-acme-order-order_id-finalize.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id |
string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/orders
ID операции: pki-write-issuer-issuer_ref-acme-orders.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/revoke-cert
ID операции: pki-write-issuer-issuer_ref-acme-revoke-cert.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
GET /{pki_mount_path}/issuer/{issuer_ref}/crl
ID операции: pki-issuer-read-crl.
Получите список отозванных сертификатов (CRL).
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/delta
ID операции: pki-issuer-read-crl-delta.
Получите список отозванных сертификатов (CRL).
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/delta/der
ID операции: pki-issuer-read-crl-delta-der.
Получите список отозванных сертификатов (CRL).
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/delta/pem
ID операции: pki-issuer-read-crl-delta-pem.
Получите список отозванных сертификатов (CRL).
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/der
ID операции: pki-issuer-read-crl-der.
Получите список отозванных сертификатов (CRL).
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/pem
ID операции: pki-issuer-read-crl-pem.
Получите список отозванных сертификатов (CRL).
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/der
ID операции: pki-read-issuer-der.
Получение сертификата одного эмитента.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор Издателя |
issuer_name |
string | нет | Имя Издателя |
304: Не изменено.
POST /{pki_mount_path}/issuer/{issuer_ref}/issue/{role}
ID операции: pki-issuer-issue-with-role.
Запросите сертификат, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
role |
string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается) |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der” |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1 |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
GET /{pki_mount_path}/issuer/{issuer_ref}/json
ID операции: pki-read-issuer-json.
Получение сертификата одного эмитента.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор Издателя |
issuer_name |
string | нет | Имя Издателя |
304: Не изменено.
GET /{pki_mount_path}/issuer/{issuer_ref}/pem
ID операции: pki-read-issuer-pem.
Получение сертификата одного эмитента.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор Издателя |
issuer_name |
string | нет | Имя Издателя |
304: Не изменено.
POST /{pki_mount_path}/issuer/{issuer_ref}/resign-crls
ID операции: pki-issuer-resign-crls.
Объедините и подпишите с предоставленным издателем разные CRL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_number |
integer | нет | Порядковый номер, который будет записан в расширении CRL Number |
crls |
array | нет | Список СОС в кодировке PEM для объединения, первоначально подписанных запрашиваемым эмитентом |
delta_crl_base_number |
integer (default: -1) | нет | Использование нуля или большего значения определяет базовый номер ревизии CRL для кодирования в расширении индикатора Delta CRL, иначе расширение не будет добавлено |
format |
string (default: pem) | нет | Формат комбинированного CRL, может быть “pem” или “der”. Если “der”, значение будет закодировано в base64. По умолчанию - “pem” |
next_update |
string (default: 72h) | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет | CRL |
POST /{pki_mount_path}/issuer/{issuer_ref}/revoke
ID операции: pki-revoke-issuer.
Отмена указанного сертификата эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Центра Сертификации |
certificate |
string | нет | Сертификат |
crl_distribution_points |
array | нет | Указывает значения URL для поля Точки распространения CRL |
issuer_id |
string | нет | Идентификатор издателя |
issuer_name |
string | нет | Имя издателя |
issuing_certificates |
array | нет | Указывает значения URL для поля Выдающий сертификат |
key_id |
string | нет | Идентификатор ключа |
leaf_not_after_behavior |
string | нет | Определяет поведение системы по истечении срока действия сертификата; возможные значения: extend, renew, expire |
manual_chain |
array | нет | Пользовательски заданная цепочка сертификатов |
ocsp_servers |
array | нет | Указывает значения URL для поля Серверы OCSP |
revocation_signature_algorithm |
string | нет | Какой алгоритм подписи использовать при создании CRL |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC |
revoked |
boolean | нет | Был ли издатель отозван |
usage |
string | нет | Допустимое использование |
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/account/{kid}
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-account-kid.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
kid |
string | path | да | Идентификатор ключа, предоставленный центром сертификации |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/authorization/{auth_id}
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-authorization-auth_id.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/challenge/{auth_id}/{challenge_type}
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-challenge-auth_id-challenge_type.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
challenge_type |
string | path | да | Тип вызова ACME |
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
GET /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/directory
ID операции: pki-read-issuer-issuer_ref-roles-role-acme-directory.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/new-account
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-new-account.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/new-eab
ID операции: pki-generate-eab-key-for-issuer-and-role.
Создайте привязки внешней учетной записи для использования в ACME.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_directory |
string | нет | Каталог ACME, которому принадлежит ключ |
created_on |
string | нет | Дата и время в формате RFC3339, когда был создан EAB токен |
id |
string | нет | Идентификатор ключа EAB |
key |
string | нет | Ключ EAB hmac |
key_type |
string | нет | Тип ключа EAB |
GET /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/new-nonce
ID операции: pki-read-issuer-issuer_ref-roles-role-acme-new-nonce.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/new-order
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-new-order.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/order/{order_id}
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-order-order_id.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id |
string | path | да | Идентификатор заказа ACME для получения |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/order/{order_id}/cert
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-order-order_id-cert.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id |
string | path | да | Идентификатор заказа ACME для получения |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/order/{order_id}/finalize
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-order-order_id-finalize.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id |
string | path | да | Идентификатор заказа ACME для получения |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/orders
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-orders.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/revoke-cert
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-revoke-cert.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-intermediate
ID операции: pki-issuer-sign-intermediate.
Выпустить промежуточный сертификат CA на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается) |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name |
string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением ‘default’ |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение |
max_path_length |
integer (default: -1) | нет | Максимально допустимая длина пути |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение |
permitted_dns_domains |
array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты. Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10) |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der” |
province |
array | нет | Если установлено, Province будет установлена на это значение |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST) |
skid |
string (default: ) | нет | Значение для поля Subject Key Identifier (RFC 5280 Раздел 4.2.1.2). Это значение должно использоваться ТОЛЬКО при перекрестной подписи для имитации значения SKID существующего сертификата; это необходимо для того, чтобы некоторые реализации TLS (например, OpenSSL), использующие совпадения SKID/AKID при построении цепочек, могли ограничивать возможные допустимые цепочки. Указывается в виде строки в шестнадцатеричном формате. По умолчанию пусто, что позволяет Vault автоматически вычислять SKID в соответствии с первым методом в приведенном выше разделе RFC |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми |
use_csr_values |
boolean (default: False) | нет | Если верно, то: 1) Информация о субъекте, включая имена и альтернативные имена, будет сохранена из CSR, а не использована в других параметрах этого пути; 2) Любые ключевые использования, запрошенные в CSR, будут добавлены к базовому набору ключевых использований, используемых для сертификатов CA, подписанных этим путем; например, флаг неотрицания; 3) Расширения, запрошенные в CSR, будут скопированы в выпущенный сертификат |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка CA |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий CA |
serial_number |
string | нет | Серийный номер |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-revocation-list
ID операции: pki-issuer-sign-revocation-list.
Сгенерируйте и подпишите CRL на основе предоставленных параметров.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_number |
integer | нет | Порядковый номер, который будет записан в расширении CRL Number |
delta_crl_base_number |
integer (default: -1) | нет | Использование нуля или большего значения определяет базовый номер ревизии CRL для кодирования в расширении индикатора Delta CRL, иначе расширение не будет добавлено |
extensions |
array | нет | Список карт, содержащих расширения с ключами id (строка), critical (bool), value (строка) |
format |
string (default: pem) | нет | Формат комбинированного CRL, может быть “pem” или “der”. Если “der”, значение будет закодировано в base64. По умолчанию - “pem” |
next_update |
string (default: 72h) | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа |
revoked_certs |
array | нет | Список карт, содержащих ключи serial_number (строка), revocation_time (строка) и extensions (карта с ключами id (строка), critical (bool), value (строка)) |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет | CRL |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-self-issued
ID операции: pki-issuer-sign-self-issued.
Повторный выпуск самоподписанного сертификата на основе предоставленного сертификата.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Подписываемый самовыпущенный сертификат в формате PEM |
require_matching_certificate_algorithms |
boolean (default: False) | нет | Если true, то требуется, чтобы алгоритм открытого ключа подписывающего лица совпадал с алгоритмом собственного сертификата |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сертификат |
issuing_ca |
string | нет | Выдающий CA |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-verbatim
ID операции: pki-issuer-sign-verbatim.
Выпустить сертификат напрямую на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM. Значения будут взяты дословно из CSR, за исключением основных ограничений |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается) |
ext_key_usage |
array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени “ExtKeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список |
ext_key_usage_oids |
array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
key_usage |
array (default: [‘DigitalSignature’, ‘KeyAgreement’, ‘KeyEncipherment’]) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени “KeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der” |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain |
role |
string | нет | Желаемая роль с конфигурацией для этого запроса |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST) |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1 |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-verbatim/{role}
ID операции: pki-issuer-sign-verbatim-with-role.
Выпустить сертификат напрямую на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
role |
string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM. Значения будут взяты дословно из CSR, за исключением основных ограничений |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается) |
ext_key_usage |
array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени “ExtKeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список |
ext_key_usage_oids |
array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
key_usage |
array (default: [‘DigitalSignature’, ‘KeyAgreement’, ‘KeyEncipherment’]) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени “KeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der” |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST) |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1 |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign/{role}
ID операции: pki-issuer-sign-with-role.
Запросите сертификаты, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
role |
string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается) |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der” |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1 |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий центр сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl
ID операции: pki-issuer-read-unified-crl.
Получите список отозванных сертификатов (CRL).
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/delta
ID операции: pki-issuer-read-unified-crl-delta.
Получите список отозванных сертификатов (CRL).
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/delta/der
ID операции: pki-issuer-read-unified-crl-delta-der.
Получите список отозванных сертификатов (CRL).
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/delta/pem
ID операции: pki-issuer-read-unified-crl-delta-pem.
Получите список отозванных сертификатов (CRL).
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/der
ID операции: pki-issuer-read-unified-crl-der.
Получите список отозванных сертификатов (CRL).
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/pem
ID операции: pki-issuer-read-unified-crl-pem.
Получите список отозванных сертификатов (CRL).
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuers
ID операции: pki-list-issuers.
Получите список сертификатов CA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_info |
object | нет | Информация о ключе с именем издателя |
keys |
array | нет | Список ключей |
POST /{pki_mount_path}/issuers/generate/intermediate/{exported}
ID операции: pki-issuers-generate-intermediate.
Создайте новую CSR и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
exported |
string (internal, external, kms) | path | да | Должно быть “internal”, “exported” или “kms”. Если установлено значение “exported”, будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
add_basic_constraints |
boolean | нет | Добавлять ли расширение Basic Constraints с CA: true. Необходимо только в качестве обходного пути в некоторых сценариях совместимости со службами сертификации Active Directory |
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается) |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519 |
key_name |
string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением ‘default’ |
key_ref |
string (default: default) | нет | Ссылка на существующий ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. “rsa” “ec” и “ed25519” - единственные допустимые значения |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der” |
province |
array | нет | Если установлено, Province будет установлена на это значение |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST) |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
csr |
string | нет | Запрос на подпись сертификата |
key_id |
string | нет | Идентификатор ключа |
private_key |
string | нет | Сгенерированный закрытый ключ |
private_key_type |
string | нет | Указывает формат, используемый для организации закрытого ключа |
POST /{pki_mount_path}/issuers/generate/root/{exported}
ID операции: pki-issuers-generate-root.
Создайте новый сертификат CA и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
exported |
string (internal, external, kms) | path | да | Должно быть “internal”, “exported” или “kms”. Если установлено значение “exported”, будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ! |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается) |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name |
string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением ‘default’ |
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519 |
key_name |
string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением ‘default’ |
key_ref |
string (default: default) | нет | Ссылка на существующий ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. “rsa” “ec” и “ed25519” - единственные допустимые значения |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов |
max_path_length |
integer (default: -1) | нет | Максимально допустимая длина пути |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение |
permitted_dns_domains |
array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты. Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10) |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der” |
province |
array | нет | Если установлено, Province будет установлена на это значение |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST) |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сгенерированный самозаверенный сертификат CA |
expiration |
integer | нет | Истечение срока действия указанного издателя |
issuer_id |
string | нет | Идентификатор издателя |
issuer_name |
string | нет | Имя издателя |
issuing_ca |
string | нет | Выдающий центр сертификации |
key_id |
string | нет | Идентификатор ключа |
key_name |
string | нет | Имя ключа, если указано |
private_key |
string | нет | Закрытый ключ, если экспортируется, был указан |
serial_number |
string | нет | Запрошенный серийный номер именованного субъекта |
POST /{pki_mount_path}/issuers/import/bundle
ID операции: pki-issuers-import-bundle.
Импортируйте указанные сертификаты выдачи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pem_bundle |
string | нет | PEM-формат, конкатенированный незашифрованный секретный ключ (необязательно) и сертификаты |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
existing_issuers |
array | нет | Существующие издатели, указанные как часть импортируемого пакета этого запроса |
existing_keys |
array | нет | Существующие ключи, указанные как часть импортируемого пакета этого запроса |
imported_issuers |
array | нет | Совсем новые издатели, импортированные в рамках этого запроса |
imported_keys |
array | нет | Совсем новые ключи, импортированные в рамках этого запроса |
mapping |
object | нет | Отображение issuer_id в key_id для всех издателей, включённых в этот запрос |
POST /{pki_mount_path}/issuers/import/cert
ID операции: pki-issuers-import-cert.
Импортируйте указанные сертификаты выдачи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pem_bundle |
string | нет | PEM-формат, конкатенированный незашифрованный секретный ключ (необязательно) и сертификаты |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
existing_issuers |
array | нет | Существующие издатели, указанные как часть импортируемого пакета этого запроса |
existing_keys |
array | нет | Существующие ключи, указанные как часть импортируемого пакета этого запроса |
imported_issuers |
array | нет | Совсем новые издатели, импортированные в рамках этого запроса |
imported_keys |
array | нет | Совсем новые ключи, импортированные в рамках этого запроса |
mapping |
object | нет | Отображение issuer_id в key_id для всех издателей, включённых в этот запрос |
GET /{pki_mount_path}/key/{key_ref}
ID операции: pki-read-key.
Получение одного ключа эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
key_ref |
string | path | да | Ссылка на ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор ключа, либо имя, присвоенное ключу |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id |
string | нет | Идентификатор Ключа |
key_name |
string | нет | Имя Ключа |
key_type |
string | нет | Тип Ключа |
managed_key_id |
string | нет | Идентификатор управляемого ключа |
managed_key_name |
string | нет | Имя управляемого ключа |
subject_key_id |
string | нет | Идентификатор ключа субъекта RFC 5280 публичного контрагента |
POST /{pki_mount_path}/key/{key_ref}
ID операции: pki-write-key.
Получение одного ключа эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
key_ref |
string | path | да | Ссылка на ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор ключа, либо имя, присвоенное ключу |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_name |
string | нет | Человекочитаемое имя для этого ключа |
Ответы
204: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id |
string | нет | Идентификатор Ключа |
key_name |
string | нет | Имя Ключа |
key_type |
string | нет | Тип Ключа |
DELETE /{pki_mount_path}/key/{key_ref}
ID операции: pki-delete-key.
Получение одного ключа эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
key_ref |
string | path | да | Ссылка на ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор ключа, либо имя, присвоенное ключу |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /{pki_mount_path}/keys
ID операции: pki-list-keys.
Получение списка всех ключей эмитентов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_info |
object | нет | Информация о ключе с именем издателя |
keys |
array | нет | Список ключей |
POST /{pki_mount_path}/keys/generate/exported
ID операции: pki-generate-exported-key.
Сгенерируйте новый закрытый ключ, используемый для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519 |
key_name |
string | нет | Необязательное имя, которое будет использоваться для этого ключа |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. “rsa” “ec” и “ed25519” - единственные допустимые значения |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id |
string | нет | Идентификатор, присвоенный этому ключу |
key_name |
string | нет | Имя, назначенное этому ключу |
key_type |
string | нет | Тип используемого ключа; по умолчанию используется RSA. “rsa” “ec” и “ed25519” - единственные допустимые значения |
private_key |
string | нет | Строка закрытого ключа |
POST /{pki_mount_path}/keys/generate/internal
ID операции: pki-generate-internal-key.
Сгенерируйте новый закрытый ключ, используемый для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519 |
key_name |
string | нет | Необязательное имя, которое будет использоваться для этого ключа |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. “rsa” “ec” и “ed25519” - единственные допустимые значения |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id |
string | нет | Идентификатор, присвоенный этому ключу |
key_name |
string | нет | Имя, назначенное этому ключу |
key_type |
string | нет | Тип используемого ключа; по умолчанию используется RSA. “rsa” “ec” и “ed25519” - единственные допустимые значения |
private_key |
string | нет | Строка закрытого ключа |
POST /{pki_mount_path}/keys/generate/kms
ID операции: pki-generate-kms-key.
Сгенерируйте новый закрытый ключ, используемый для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519 |
key_name |
string | нет | Необязательное имя, которое будет использоваться для этого ключа |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. “rsa” “ec” и “ed25519” - единственные допустимые значения |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id |
string | нет | Идентификатор, присвоенный этому ключу |
key_name |
string | нет | Имя, назначенное этому ключу |
key_type |
string | нет | Тип используемого ключа; по умолчанию используется RSA. “rsa” “ec” и “ed25519” - единственные допустимые значения |
private_key |
string | нет | Строка закрытого ключа |
POST /{pki_mount_path}/keys/import
ID операции: pki-import-key.
Импортируйте указанный ключ.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_name |
string | нет | Необязательное имя, которое будет использоваться для этого ключа |
pem_bundle |
string | нет | Незашифрованный секретный ключ в формате PEM |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id |
string | нет | Идентификатор, присвоенный этому ключу |
key_name |
string | нет | Имя, назначенное этому ключу |
key_type |
string | нет | Тип используемого ключа; по умолчанию используется RSA. “rsa” “ec” и “ed25519” - единственные допустимые значения |
POST /{pki_mount_path}/ocsp
ID операции: pki-query-ocsp.
Запрос статуса отзыва сертификата через OCSP’.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{pki_mount_path}/ocsp/{req}
ID операции: pki-query-ocsp-with-get-req.
Запрос статуса отзыва сертификата через OCSP’.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
req |
string | path | да | запрос ocsp в кодировке base-64 |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{pki_mount_path}/revoke
ID операции: pki-revoke.
Отмените сертификат по серийному номеру или с явным сертификатом. При вызове /revoke-with-key необходимо предоставить закрытый ключ, соответствующий сертификату, для аутентификации запроса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сертификат для отзыва в формате PEM; должен быть подписан эмитентом в этом монтировании |
serial_number |
string | нет | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва |
state |
string | нет | Состояние отзыва |
POST /{pki_mount_path}/revoke-with-key
ID операции: pki-revoke-with-key.
Отмените сертификат по серийному номеру или с явным сертификатом. При вызове /revoke-with-key необходимо предоставить закрытый ключ, соответствующий сертификату, для аутентификации запроса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сертификат для отзыва в формате PEM; должен быть подписан эмитентом в этом монтировании |
private_key |
string | нет | Ключ, используемый для проверки разрешения на отзыв; должен быть в формате PEM |
serial_number |
string | нет | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва |
state |
string | нет | Состояние отзыва |
GET /{pki_mount_path}/roles
ID операции: pki-list-roles.
Список существующих ролей в этом бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | Список ролей |
GET /{pki_mount_path}/roles/{name}
ID операции: pki-read-role.
Управление ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_any_name |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для любого домена, независимо от ограничений allowed_domains. Дополнительные сведения см. в документации |
allow_bare_domains |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для самих базовых доменов, например “example.com” из доменов, перечисленных в allowed_domains. Это отдельная опция, поскольку в некоторых случаях это может рассматриваться как угроза безопасности. Дополнительную информацию см. в документации |
allow_glob_domains |
boolean | нет | Если установлено, домены, указанные в allowed_domains, могут включать шаблоны glob в стиле shell, например, “ftp*.example.com”. Дополнительные сведения см. в документации |
allow_ip_sans |
boolean | нет | Если установлено, разрешены альтернативные имена субъектов IP. Принимается любой действительный IP, проверка авторизации не производится |
allow_localhost |
boolean | нет | Разрешать ли “localhost” и “localdomain” в качестве допустимого общего имени в запросе, независимо от значения allowed_domains |
allow_subdomains |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для поддоменов доменов, перечисленных в allowed_domains, включая поддомены с подстановочными знаками. Дополнительную информацию см. в документации |
allow_token_displayname |
boolean | нет | Разрешать ли “localhost” и “localdomain” в качестве допустимого общего имени в запросе, независимо от значения allowed_domains |
allow_wildcard_certificates |
boolean | нет | Если установлено, разрешается выдавать сертификаты с подстановочными знаками в общем имени, в соответствии с разделом 6.4.3 документа RFC 6125; например, “.example.net” или “bz.example.net”. Дополнительные сведения см. в документации |
allowed_domains |
array | нет | Указывает домены, для которых этой роли разрешено выдавать сертификаты. Используется вместе с параметрами allow_bare_domains, allow_subdomains и allow_glob_domains для определения соответствия общего имени, записей SAN, типизированных для DNS, и записей SAN, типизированных для электронной почты, в сертификатах. Дополнительные сведения см. в документации. Этот параметр принимает строку или список доменов, разделенных запятыми |
allowed_domains_template |
boolean | нет | Если установлено, разрешенные домены могут быть указаны с помощью политик шаблонов идентификации. Домены без шаблонов также разрешены |
allowed_other_sans |
array | нет | Если установлено, то массив разрешенных других имен, которые можно поместить в SAN. Эти значения поддерживают globbing и должны быть в формате |
allowed_serial_numbers |
array | нет | Если установлено, массив разрешенных серийных номеров, которые можно поместить в Subject. Эти значения поддерживают глобальный поиск |
allowed_uri_sans |
array | нет | Если задано, массив допустимых URI для альтернативных имен субъектов URI. Принимается любой допустимый URI, эти значения поддерживают глобализацию |
allowed_uri_sans_template |
boolean | нет | Если установлено, разрешенные URI SAN могут быть указаны с помощью политик шаблонов идентификации. Сети URI без шаблонов также разрешены |
allowed_user_ids |
array | нет | Если задано, то массив разрешенных идентификаторов пользователей, которые следует поместить в системный логин пользователя, указан здесь: https://www.rfc-editor.org/rfc/rfc1274#section-9.3.1 |
basic_constraints_valid_for_non_ca |
boolean | нет | Отметьте основные ограничения, действующие при выдаче сертификатов не-CA |
client_flag |
boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве клиентского аутентификатора. По умолчанию установлено значение true. См. также RFC 5280, раздел 4.2.1.12 |
cn_validations |
array | нет | Список разрешенных проверок для поля Common Name. Значения могут включать ‘email’ для проверки того, что CN является адресом электронной почты, ‘hostname’ для проверки того, что CN является действительным именем хоста (потенциально включая подстановочные знаки). Если указано несколько проверок, они принимают семантику OR (разрешены либо email, либо hostname). Специальное значение ‘disabled’ позволяет отключить все проверки имени CN, что позволяет использовать произвольные CN без имени хоста и адреса электронной почты |
code_signing_flag |
boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве подписи кода. По умолчанию установлено значение false. См. также RFC 5280, раздел 4.2.1.12 |
country |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Country будет равно этому значению |
email_protection_flag |
boolean | нет | Если установлено, сертификаты будут отмечены для использования в целях защиты электронной почты. По умолчанию установлено значение false. См. также RFC 5280, раздел 4.2.1.12 |
enforce_hostnames |
boolean | нет | Если установлено, то для CN и DNS SAN разрешены только действительные имена хостов, а также часть хоста в адресах электронной почты. По умолчанию установлено значение true |
ext_key_usage |
array | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени “ExtKeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. См. также RFC 5280 Раздел 4.2.1.12 |
ext_key_usage_oids |
array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми |
generate_lease |
boolean | нет | Если установлено, сертификаты, выпущенные/подписанные под этой ролью, будут иметь привязку к аренде Vault. По умолчанию установлено значение “false”. Сертификаты могут быть добавлены в CRL командой “vault revoke |
issuer_ref |
string | нет | Ссылка на эмитента, используемого для подписи запросов, обслуживаемых этой ролью |
key_bits |
integer | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519 |
key_type |
string | нет | Тип используемого ключа; по умолчанию используется RSA. “rsa” “ec”, “ed25519” и “any” - единственные допустимые значения |
key_usage |
array | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени “KeyUsage”. Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. См. также RFC 5280 Раздел 4.2.1.3 |
locality |
array | нет | Если установлено, Locality будет иметь это значение в сертификатах, выданных этой ролью |
max_ttl |
integer | нет | Максимально допустимая продолжительность аренды. Если не задано, по умолчанию используется системный максимальный TTL аренды |
no_store |
boolean | нет | Если установлено, сертификаты, выпущенные/подписанные для этой роли, не будут храниться в бэкенде хранилища. Это может повысить производительность при выпуске большого количества сертификатов. Однако сертификаты, выпущенные таким образом, не могут быть перечислены или отозваны, поэтому эта опция рекомендуется только для сертификатов, которые не являются чувствительными или очень недолговечными. Эта опция подразумевает значение “false” для “generate_lease” |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer | нет | Длительность в секундах до настоящего момента, на которую требуется аннулировать сертификат |
organization |
array | нет | Если установлено, O (Organization) будет иметь это значение в сертификатах, выданных этой ролью |
ou |
array | нет | Если установлено, OU (OrganizationalUnit) будет иметь это значение в сертификатах, выданных этой ролью |
policy_identifiers |
array | нет | Строка или список OID политики, разделенные запятыми, или JSON-список квалифицированной информации о политике, который должен включать oid и может включать notice и/или cps url, используя форму [{“oid”=”1.3.6.1.4.1.7.8”, “notice”=”Я пользователь Notice”}, {“oid”=”1.3.6.1.4.1.44947.1.2.4 “, “cps”=”https://example.com”}] |
postal_code |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, почтовый индекс будет иметь это значение |
province |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Province будет равно этому значению |
require_cn |
boolean | нет | Если установлено значение false, поле ‘common_name’ становится необязательным при генерации сертификата |
server_flag |
boolean (default: True) | нет | Если установлено, сертификаты будут отмечены для использования серверного аутентификатора. По умолчанию установлено значение true. См. также RFC 5280, раздел 4.2.1.12 |
signature_bits |
integer | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST) |
street_address |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, будет установлено значение Street Address |
ttl |
integer | нет | Продолжительность аренды (срок действия сертификата), если не запрашивается конкретная продолжительность аренды. Продолжительность аренды контролирует срок действия сертификатов, выпущенных этим бэкендом. По умолчанию соответствует системному значению по умолчанию или значению max_ttl, в зависимости от того, что меньше |
use_csr_common_name |
boolean | нет | Если установлено, то при использовании с профилем подписи будет использоваться общее имя в CSR. Это не включает любые запрошенные альтернативные имена субъектов; для этого используйте use_csr_sans. По умолчанию установлено значение true |
use_csr_sans |
boolean | нет | Если установлено, то при использовании с профилем подписи будут использоваться SAN в CSR. Это не включает общее имя (cn); для этого используйте use_csr_common_name. По умолчанию установлено значение true |
use_pss |
boolean | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false |
POST /{pki_mount_path}/roles/{name}
ID операции: pki-write-role.
Управление ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_any_name |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для любого домена, независимо от ограничений allowed_domains Дополнительные сведения см. в документации |
allow_bare_domains |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для самих базовых доменов, например “example.com” из доменов, перечисленных в allowed_domains Это отдельная опция, поскольку в некоторых случаях это может рассматриваться как угроза безопасности Дополнительную информацию см. в документации |
allow_glob_domains |
boolean | нет | Если установлено, домены, указанные в allowed_domains, могут включать шаблоны glob в стиле shell, например, “ftp*.example.com” Дополнительные сведения см. в документации |
allow_ip_sans |
boolean (default: True) | нет | Если установлено, разрешены альтернативные имена субъектов IP Принимается любой действительный IP, проверка авторизации не производится |
allow_localhost |
boolean (default: True) | нет | Разрешать ли “localhost” и “localdomain” в качестве допустимого общего имени в запросе, независимо от значения allowed_domains |
allow_subdomains |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для поддоменов доменов, перечисленных в allowed_domains, включая поддомены с подстановочными знаками Дополнительную информацию см. в документации |
allow_wildcard_certificates |
boolean (default: True) | нет | Если установлено, разрешается выдавать сертификаты с подстановочными знаками в общем имени, в соответствии с разделом 6.4.3 документа RFC 6125; например, “.example.net” или “bz.example.net” Дополнительные сведения см. в документации |
allowed_domains |
array | нет | Указывает домены, для которых этой роли разрешено выдавать сертификаты Используется вместе с параметрами allow_bare_domains, allow_subdomains и allow_glob_domains для определения соответствия общего имени, записей SAN, типизированных для DNS, и записей SAN, типизированных для электронной почты, в сертификатах Дополнительные сведения см. в документации Этот параметр принимает строку или список доменов, разделенных запятыми |
allowed_domains_template |
boolean (default: False) | нет | Если установлено, разрешенные домены могут быть указаны с помощью политик шаблонов идентификации Домены без шаблонов также разрешены |
allowed_other_sans |
array | нет | Если установлено, то массив разрешенных других имен, которые можно поместить в SAN Эти значения поддерживают globbing и должны быть в формате |
allowed_serial_numbers |
array | нет | Если установлено, массив разрешенных серийных номеров, которые можно поместить в Subject Эти значения поддерживают глобальный поиск |
allowed_uri_sans |
array | нет | Если задано, массив допустимых URI для альтернативных имен субъектов URI Принимается любой допустимый URI, эти значения поддерживают глобализацию |
allowed_uri_sans_template |
boolean (default: False) | нет | Если установлено, разрешенные URI SAN могут быть указаны с помощью политик шаблонов идентификации Сети URI без шаблонов также разрешены |
allowed_user_ids |
array | нет | Если задано, то массив разрешенных идентификаторов пользователей, которые следует поместить в системный логин пользователя, указан здесь: https://www.rfc-editor.org/rfc/rfc1274#section-9.3.1 |
backend |
string | нет | Тип бэкенда |
basic_constraints_valid_for_non_ca |
boolean | нет | Отметьте основные ограничения, действующие при выдаче сертификатов не-CA |
client_flag |
boolean (default: True) | нет | Если установлено, сертификаты будут помечены для использования в качестве клиентского аутентификатора По умолчанию установлено значение true См. также RFC 5280, раздел 4.2.1.12 |
cn_validations |
array (default: [‘email’, ‘hostname’]) | нет | Список разрешенных проверок для поля Common Name Значения могут включать ‘email’ для проверки того, что CN является адресом электронной почты, ‘hostname’ для проверки того, что CN является действительным именем хоста (потенциально включая подстановочные знаки) Если указано несколько проверок, они принимают семантику OR (разрешены либо email, либо hostname) Специальное значение ‘disabled’ позволяет отключить все проверки имени CN, что позволяет использовать произвольные CN без имени хоста и адреса электронной почты |
code_signing_flag |
boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве подписи кода По умолчанию установлено значение false См. также RFC 5280, раздел 4.2.1.12 |
country |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Country будет равно этому значению |
email_protection_flag |
boolean | нет | Если установлено, сертификаты будут отмечены для использования в целях защиты электронной почты По умолчанию установлено значение false См. также RFC 5280, раздел 4.2.1.12 |
enforce_hostnames |
boolean (default: True) | нет | Если установлено, то для CN и DNS SAN разрешены только действительные имена хостов, а также часть хоста в адресах электронной почты По умолчанию установлено значение true |
ext_key_usage |
array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени “ExtKeyUsage” Чтобы исключить установку всех ключевых использований, установите это значение в пустой список См. также RFC 5280 Раздел 4.2.1.12 |
ext_key_usage_oids |
array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми |
generate_lease |
boolean | нет | Если установлено, сертификаты, выпущенные/подписанные под этой ролью, будут иметь привязку к аренде Vault По умолчанию установлено значение “false” Сертификаты могут быть добавлены в CRL командой “vault revoke |
issuer_ref |
string (default: default) | нет | Ссылка на эмитента, используемого для подписи запросов, обслуживаемых этой ролью |
key_bits |
integer (default: 0) | нет | Количество используемых битов Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519 |
key_type |
string (rsa, ec, ed25519, any) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA “rsa” “ec”, “ed25519” и “any” - единственные допустимые значения |
key_usage |
array (default: [‘DigitalSignature’, ‘KeyAgreement’, ‘KeyEncipherment’]) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа) Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени “KeyUsage” Чтобы исключить установку всех ключевых использований, установите это значение в пустой список См. также RFC 5280 Раздел 4.2.1.3 |
locality |
array | нет | Если установлено, Locality будет иметь это значение в сертификатах, выданных этой ролью |
max_ttl |
integer | нет | Максимально допустимая продолжительность аренды Если не задано, по умолчанию используется системный максимальный TTL аренды |
no_store |
boolean | нет | Если установлено, сертификаты, выпущенные/подписанные для этой роли, не будут храниться в бэкенде хранилища Это может повысить производительность при выпуске большого количества сертификатов Однако сертификаты, выпущенные таким образом, не могут быть перечислены или отозваны, поэтому эта опция рекомендуется только для сертификатов, которые не являются чувствительными или очень недолговечными Эта опция подразумевает значение “false” для “generate_lease” |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата |
organization |
array | нет | Если установлено, O (Organization) будет иметь это значение в сертификатах, выданных этой ролью |
ou |
array | нет | Если установлено, OU (OrganizationalUnit) будет иметь это значение в сертификатах, выданных этой ролью |
policy_identifiers |
array | нет | Строка или список OID политики, разделенные запятыми, или JSON-список квалифицированной информации о политике, который должен включать oid и может включать notice и/или cps url, используя форму [{“oid”=”1.3.6.1.4.1.7.8”, “notice”=”Я пользователь Notice”}, {“oid”=”1.3.6.1.4.1.44947.1.2.4 “, “cps”=”https://example.com”}] |
postal_code |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, почтовый индекс будет иметь это значение |
province |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Province будет равно этому значению |
require_cn |
boolean (default: True) | нет | Если установлено значение false, поле ‘common_name’ становится необязательным при генерации сертификата |
server_flag |
boolean (default: True) | нет | Если установлено, сертификаты будут отмечены для использования серверного аутентификатора По умолчанию установлено значение true См. также RFC 5280, раздел 4.2.1.12 |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512 По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST) |
street_address |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, будет установлено значение Street Address |
ttl |
integer | нет | Продолжительность аренды (срок действия сертификата), если не запрашивается конкретная продолжительность аренды Продолжительность аренды контролирует срок действия сертификатов, выпущенных этим бэкендом По умолчанию соответствует системному значению по умолчанию или значению max_ttl, в зависимости от того, что меньше |
use_csr_common_name |
boolean (default: True) | нет | Если установлено, то при использовании с профилем подписи будет использоваться общее имя в CSR Это не включает любые запрошенные альтернативные имена субъектов; для этого используйте use_csr_sans По умолчанию установлено значение true |
use_csr_sans |
boolean (default: True) | нет | Если установлено, то при использовании с профилем подписи будут использоваться SAN в CSR Это не включает общее имя (cn); для этого используйте use_csr_common_name По умолчанию установлено значение true |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA По умолчанию имеет значение false |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_any_name |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для любого домена, независимо от ограничений allowed_domains Дополнительные сведения см. в документации |
allow_bare_domains |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для самих базовых доменов, например “example.com” из доменов, перечисленных в allowed_domains Это отдельная опция, поскольку в некоторых случаях это может рассматриваться как угроза безопасности Дополнительную информацию см. в документации |
allow_glob_domains |
boolean | нет | Если установлено, домены, указанные в allowed_domains, могут включать шаблоны glob в стиле shell, например, “ftp*.example.com” Дополнительные сведения см. в документации |
allow_ip_sans |
boolean | нет | Если установлено, разрешены альтернативные имена субъектов IP Принимается любой действительный IP, проверка авторизации не производится |
allow_localhost |
boolean | нет | Разрешать ли “localhost” и “localdomain” в качестве допустимого общего имени в запросе, независимо от значения allowed_domains |
allow_subdomains |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для поддоменов доменов, перечисленных в allowed_domains, включая поддомены с подстановочными знаками Дополнительную информацию см. в документации |
allow_token_displayname |
boolean | нет | Разрешать ли “localhost” и “localdomain” в качестве допустимого общего имени в запросе, независимо от значения allowed_domains |
allow_wildcard_certificates |
boolean | нет | Если установлено, разрешается выдавать сертификаты с подстановочными знаками в общем имени, в соответствии с разделом 6.4.3 документа RFC 6125; например, “.example.net” или “bz.example.net” Дополнительные сведения см. в документации |
allowed_domains |
array | нет | Указывает домены, для которых этой роли разрешено выдавать сертификаты Используется вместе с параметрами allow_bare_domains, allow_subdomains и allow_glob_domains для определения соответствия общего имени, записей SAN, типизированных для DNS, и записей SAN, типизированных для электронной почты, в сертификатах Дополнительные сведения см. в документации Этот параметр принимает строку или список доменов, разделенных запятыми |
allowed_domains_template |
boolean | нет | Если установлено, разрешенные домены могут быть указаны с помощью политик шаблонов идентификации Домены без шаблонов также разрешены |
allowed_other_sans |
array | нет | Если установлено, то массив разрешенных других имен, которые можно поместить в SAN Эти значения поддерживают globbing и должны быть в формате |
allowed_serial_numbers |
array | нет | Если установлено, массив разрешенных серийных номеров, которые можно поместить в Subject Эти значения поддерживают глобальный поиск |
allowed_uri_sans |
array | нет | Если задано, массив допустимых URI для альтернативных имен субъектов URI Принимается любой допустимый URI, эти значения поддерживают глобализацию |
allowed_uri_sans_template |
boolean | нет | Если установлено, разрешенные URI SAN могут быть указаны с помощью политик шаблонов идентификации Сети URI без шаблонов также разрешены |
allowed_user_ids |
array | нет | Если задано, то массив разрешенных идентификаторов пользователей, которые следует поместить в системный логин пользователя, указан здесь: https://www.rfc-editor.org/rfc/rfc1274#section-9.3.1 |
basic_constraints_valid_for_non_ca |
boolean | нет | Отметьте основные ограничения, действующие при выдаче сертификатов не-CA |
client_flag |
boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве клиентского аутентификатора По умолчанию установлено значение true См. также RFC 5280, раздел 4.2.1.12 |
cn_validations |
array | нет | Список разрешенных проверок для поля Common Name Значения могут включать ‘email’ для проверки того, что CN является адресом электронной почты, ‘hostname’ для проверки того, что CN является действительным именем хоста (потенциально включая подстановочные знаки) Если указано несколько проверок, они принимают семантику OR (разрешены либо email, либо hostname) Специальное значение ‘disabled’ позволяет отключить все проверки имени CN, что позволяет использовать произвольные CN без имени хоста и адреса электронной почты |
code_signing_flag |
boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве подписи кода По умолчанию установлено значение false См. также RFC 5280, раздел 4.2.1.12 |
country |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Country будет равно этому значению |
email_protection_flag |
boolean | нет | Если установлено, сертификаты будут отмечены для использования в целях защиты электронной почты По умолчанию установлено значение false См. также RFC 5280, раздел 4.2.1.12 |
enforce_hostnames |
boolean | нет | Если установлено, то для CN и DNS SAN разрешены только действительные имена хостов, а также часть хоста в адресах электронной почты По умолчанию установлено значение true |
ext_key_usage |
array | нет | Строка или список расширенных применений ключей, разделенных запятыми Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени “ExtKeyUsage” Чтобы исключить установку всех ключевых использований, установите это значение в пустой список См. также RFC 5280 Раздел 4.2.1.12 |
ext_key_usage_oids |
array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми |
generate_lease |
boolean | нет | Если установлено, сертификаты, выпущенные/подписанные под этой ролью, будут иметь привязку к аренде Vault По умолчанию установлено значение “false” Сертификаты могут быть добавлены в CRL командой “vault revoke |
issuer_ref |
string | нет | Ссылка на эмитента, используемого для подписи запросов, обслуживаемых этой ролью |
key_bits |
integer | нет | Количество используемых битов Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519 |
key_type |
string | нет | Тип используемого ключа; по умолчанию используется RSA “rsa” “ec”, “ed25519” и “any” - единственные допустимые значения |
key_usage |
array | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа) Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени “KeyUsage” Чтобы исключить установку всех ключевых использований, установите это значение в пустой список См. также RFC 5280 Раздел 4.2.1.3 |
locality |
array | нет | Если установлено, Locality будет иметь это значение в сертификатах, выданных этой ролью |
max_ttl |
integer | нет | Максимально допустимая продолжительность аренды Если не задано, по умолчанию используется системный максимальный TTL аренды |
no_store |
boolean | нет | Если установлено, сертификаты, выпущенные/подписанные для этой роли, не будут храниться в бэкенде хранилища Это может повысить производительность при выпуске большого количества сертификатов Однако сертификаты, выпущенные таким образом, не могут быть перечислены или отозваны, поэтому эта опция рекомендуется только для сертификатов, которые не являются чувствительными или очень недолговечными Эта опция подразумевает значение “false” для “generate_lease” |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer | нет | Длительность в секундах до настоящего момента, на которую требуется аннулировать сертификат |
organization |
array | нет | Если установлено, O (Organization) будет иметь это значение в сертификатах, выданных этой ролью |
ou |
array | нет | Если установлено, OU (OrganizationalUnit) будет иметь это значение в сертификатах, выданных этой ролью |
policy_identifiers |
array | нет | Строка или список OID политики, разделенные запятыми, или JSON-список квалифицированной информации о политике, который должен включать oid и может включать notice и/или cps url, используя форму [{“oid”=”1.3.6.1.4.1.7.8”, “notice”=”Я пользователь Notice”}, {“oid”=”1.3.6.1.4.1.44947.1.2.4 “, “cps”=”https://example.com”}] |
postal_code |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, почтовый индекс будет иметь это значение |
province |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Province будет равно этому значению |
require_cn |
boolean | нет | Если установлено значение false, поле ‘common_name’ становится необязательным при генерации сертификата |
server_flag |
boolean (default: True) | нет | Если установлено, сертификаты будут отмечены для использования серверного аутентификатора По умолчанию установлено значение true См. также RFC 5280, раздел 4.2.1.12 |
signature_bits |
integer | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512 По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST) |
street_address |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, будет установлено значение Street Address |
ttl |
integer | нет | Продолжительность аренды (срок действия сертификата), если не запрашивается конкретная продолжительность аренды Продолжительность аренды контролирует срок действия сертификатов, выпущенных этим бэкендом По умолчанию соответствует системному значению по умолчанию или значению max_ttl, в зависимости от того, что меньше |
use_csr_common_name |
boolean | нет | Если установлено, то при использовании с профилем подписи будет использоваться общее имя в CSR Это не включает любые запрошенные альтернативные имена субъектов; для этого используйте use_csr_sans По умолчанию установлено значение true |
use_csr_sans |
boolean | нет | Если установлено, то при использовании с профилем подписи будут использоваться SAN в CSR Это не включает общее имя (cn); для этого используйте use_csr_common_name По умолчанию установлено значение true |
use_pss |
boolean | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA По умолчанию имеет значение false |
DELETE /{pki_mount_path}/roles/{name}
ID операции: pki-delete-role.
Управление ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /{pki_mount_path}/roles/{role}/acme/account/{kid}
ID операции: pki-write-roles-role-acme-account-kid.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kid |
string | path | да | Идентификатор ключа, предоставленный центром сертификации |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/roles/{role}/acme/authorization/{auth_id}
ID операции: pki-write-roles-role-acme-authorization-auth_id.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/roles/{role}/acme/challenge/{auth_id}/{challenge_type}
ID операции: pki-write-roles-role-acme-challenge-auth_id-challenge_type.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
challenge_type |
string | path | да | Тип вызова ACME |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
GET /{pki_mount_path}/roles/{role}/acme/directory
ID операции: pki-read-roles-role-acme-directory.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{pki_mount_path}/roles/{role}/acme/new-account
ID операции: pki-write-roles-role-acme-new-account.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/roles/{role}/acme/new-eab
ID операции: pki-generate-eab-key-for-role.
Создайте привязки внешней учетной записи для использования в ACME.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_directory |
string | нет | Каталог ACME, которому принадлежит ключ |
created_on |
string | нет | Дата и время в формате RFC3339, когда был создан EAB токен |
id |
string | нет | Идентификатор ключа EAB |
key |
string | нет | Ключ EAB hmac |
key_type |
string | нет | Тип ключа EAB |
GET /{pki_mount_path}/roles/{role}/acme/new-nonce
ID операции: pki-read-roles-role-acme-new-nonce.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{pki_mount_path}/roles/{role}/acme/new-order
ID операции: pki-write-roles-role-acme-new-order.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/roles/{role}/acme/order/{order_id}
ID операции: pki-write-roles-role-acme-order-order_id.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id |
string | path | да | Идентификатор заказа ACME для получения |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/roles/{role}/acme/order/{order_id}/cert
ID операции: pki-write-roles-role-acme-order-order_id-cert.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id |
string | path | да | Идентификатор заказа ACME для получения |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/roles/{role}/acme/order/{order_id}/finalize
ID операции: pki-write-roles-role-acme-order-order_id-finalize.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id |
string | path | да | Идентификатор заказа ACME для получения |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/roles/{role}/acme/orders
ID операции: pki-write-roles-role-acme-orders.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
POST /{pki_mount_path}/roles/{role}/acme/revoke-cert
ID операции: pki-write-roles-role-acme-revoke-cert.
Конечная точка, реализующая стандартный протокол ACME.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение ‘полезной нагрузки’ запроса ACME |
protected |
string | нет | ACME запрос ‘защищенного’ значения |
signature |
string | нет | Значение “подписи” запроса ACME |
Ответы
200: OK.
DELETE /{pki_mount_path}/root
ID операции: pki-delete-root.
Удаляет ключ корневого центра сертификации, чтобы можно было создать новый.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{pki_mount_path}/root/generate/{exported}
ID операции: pki-generate-root.
Создайте новый сертификат CA и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
exported |
string (internal, external, kms) | path | да | Должно быть “internal”, “exported” или “kms”. Если установлено значение “exported”, будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ! |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается) |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть “pem”, “der” или “pem_bundle”. Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если “der”, то значение будет закодировано в base64. По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name |
string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением ‘default’ |
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519 |
key_name |
string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением ‘default’ |
key_ref |
string (default: default) | нет | Ссылка на существующий ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. “rsa” “ec” и “ed25519” - единственные допустимые значения |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов |
max_path_length |
integer (default: -1) | нет | Максимально допустимая длина пути |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение |
permitted_dns_domains |
array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты. Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10) |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение “der” |
province |
array | нет | Если установлено, Province будет установлена на это значение |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST) |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сгенерированный самозаверенный сертификат CA |
expiration |
integer | нет | Истечение срока действия указанного издателя |
issuer_id |
string | нет | Идентификатор издателя |
issuer_name |
string | нет | Имя издателя |
issuing_ca |
string | нет | Выдающий центр сертификации |
key_id |
string | нет | Идентификатор ключа |
key_name |
string | нет | Имя ключа, если указано |
private_key |
string | нет | Закрытый ключ, если экспортируется, был указан |
serial_number |
string | нет | Запрошенный серийный номер именованного субъекта |
POST /{pki_mount_path}/root/replace
ID операции: pki-replace-root.
Считывание и установка сертификата эмитента по умолчанию для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string (default: next) | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию |
default_follows_latest_issuer |
boolean | нет | Должен ли эмитент по умолчанию автоматически следовать последнему сгенерированному или импортированному эмитенту. По умолчанию имеет значение false |
POST /{pki_mount_path}/root/rotate/{exported}
ID операции: pki-rotate-root.
Создайте новый сертификат CA и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
exported |
string (internal, external, kms) | path | да | Должно быть “internal”, “exported” или “kms”. Если установлено значение “exported”, будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ! |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми Может содержать как DNS-имена, так и адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты По умолчанию значение false (CN включается) |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных Может быть “pem”, “der” или “pem_bundle” Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem Если “der”, то значение будет закодировано в base64 По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name |
string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением ‘default’ |
key_bits |
integer (default: 0) | нет | Количество используемых битов Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519 |
key_name |
string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением ‘default’ |
key_ref |
string (default: default) | нет | Ссылка на существующий ключ; либо “default” для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA “rsa” “ec” и “ed25519” - единственные допустимые значения |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms Если тип kms является типом ключа, это поле или managed_key_name является обязательным Игнорируется для других типов |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms Если тип kms является типом ключа, требуется это поле или managed_key_id Игнорируется для других типов |
max_path_length |
integer (default: -1) | нет | Максимально допустимая длина пути |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение |
permitted_dns_domains |
array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10) |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8 По умолчанию используется значение “der” |
province |
array | нет | Если установлено, Province будет установлена на это значение |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’ Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5 Это не влияет на поле серийного номера финального сертификата |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512 По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST) |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке Не может быть больше, чем mount max TTL Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA По умолчанию имеет значение false |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сгенерированный самозаверенный сертификат CA |
expiration |
integer | нет | Истечение срока действия указанного издателя |
issuer_id |
string | нет | Идентификатор издателя |
issuer_name |
string | нет | Имя издателя |
issuing_ca |
string | нет | Выдающий центр сертификации |
key_id |
string | нет | Идентификатор ключа |
key_name |
string | нет | Имя ключа, если указано |
private_key |
string | нет | Закрытый ключ, если экспортируется, был указан |
serial_number |
string | нет | Запрошенный серийный номер именованного субъекта |
POST /{pki_mount_path}/root/sign-intermediate
ID операции: pki-root-sign-intermediate.
Выпустить промежуточный сертификат CA на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми Может содержать как DNS-имена, так и адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты По умолчанию значение false (CN включается) |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных Может быть “pem”, “der” или “pem_bundle” Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem Если “der”, то значение будет закодировано в base64 По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name |
string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением ‘default’ |
issuer_ref |
string (default: default) | нет | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение |
max_path_length |
integer (default: -1) | нет | Максимально допустимая длина пути |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение |
permitted_dns_domains |
array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10) |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8 По умолчанию используется значение “der” |
province |
array | нет | Если установлено, Province будет установлена на это значение |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’ Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5 Это не влияет на поле серийного номера финального сертификата |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512 По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST) |
skid |
string (default: ) | нет | Значение для поля Subject Key Identifier (RFC 5280 Раздел 4.2.1.2) Это значение должно использоваться ТОЛЬКО при перекрестной подписи для имитации значения SKID существующего сертификата; это необходимо для того, чтобы некоторые реализации TLS (например, OpenSSL), использующие совпадения SKID/AKID при построении цепочек, могли ограничивать возможные допустимые цепочки Указывается в виде строки в шестнадцатеричном формате По умолчанию пусто, что позволяет Vault автоматически вычислять SKID в соответствии с первым методом в приведенном выше разделе RFC |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке Не может быть больше, чем mount max TTL Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми |
use_csr_values |
boolean (default: False) | нет | Если верно, то: 1) Информация о субъекте, включая имена и альтернативные имена, будет сохранена из CSR, а не использована в других параметрах этого пути; 2) Любые ключевые использования, запрошенные в CSR, будут добавлены к базовому набору ключевых использований, используемых для сертификатов CA, подписанных этим путем; например, флаг неотрицания; 3) Расширения, запрошенные в CSR, будут скопированы в выпущенный сертификат |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA По умолчанию имеет значение false |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка CA |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий CA |
serial_number |
string | нет | Серийный номер |
POST /{pki_mount_path}/root/sign-self-issued
ID операции: pki-root-sign-self-issued.
Повторный выпуск самоподписанного сертификата на основе предоставленного сертификата.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Подписываемый самовыпущенный сертификат в формате PEM |
issuer_ref |
string (default: default) | нет | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
require_matching_certificate_algorithms |
boolean (default: False) | нет | Если true, то требуется, чтобы алгоритм открытого ключа подписывающего лица совпадал с алгоритмом собственного сертификата |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сертификат |
issuing_ca |
string | нет | Выдающий CA |
POST /{pki_mount_path}/sign-verbatim
ID операции: pki-sign-verbatim.
Выпустить сертификат напрямую на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names Если в роли включена защита электронной почты, это может быть адрес электронной почты |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM Значения будут взяты дословно из CSR, за исключением основных ограничений |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты По умолчанию значение false (CN включается) |
ext_key_usage |
array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени “ExtKeyUsage” Чтобы исключить установку всех ключевых использований, установите это значение в пустой список |
ext_key_usage_oids |
array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных Может быть “pem”, “der” или “pem_bundle” Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem Если “der”, то значение будет закодировано в base64 По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_ref |
string (default: default) | нет | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
key_usage |
array (default: [‘DigitalSignature’, ‘KeyAgreement’, ‘KeyEncipherment’]) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа) Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени “KeyUsage” Чтобы исключить установку всех ключевых использований, установите это значение в пустой список |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8 По умолчанию используется значение “der” |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain |
role |
string | нет | Желаемая роль с конфигурацией для этого запроса |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’ Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5 Это не влияет на поле серийного номера финального сертификата |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512 По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST) |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке Не может быть больше, чем максимальный TTL роли |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA По умолчанию имеет значение false |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми Ограничивается значением allowed_user_ids Любые значения добавляются с OID 0.9.2342.19200300.100.1.1 |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
POST /{pki_mount_path}/sign-verbatim/{role}
ID операции: pki-sign-verbatim-with-role.
Выпустить сертификат напрямую на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names Если в роли включена защита электронной почты, это может быть адрес электронной почты |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM Значения будут взяты дословно из CSR, за исключением основных ограничений |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты По умолчанию значение false (CN включается) |
ext_key_usage |
array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени “ExtKeyUsage” Чтобы исключить установку всех ключевых использований, установите это значение в пустой список |
ext_key_usage_oids |
array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных Может быть “pem”, “der” или “pem_bundle” Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem Если “der”, то значение будет закодировано в base64 По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_ref |
string (default: default) | нет | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
key_usage |
array (default: [‘DigitalSignature’, ‘KeyAgreement’, ‘KeyEncipherment’]) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа) Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени “KeyUsage” Чтобы исключить установку всех ключевых использований, установите это значение в пустой список |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8 По умолчанию используется значение “der” |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’ Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5 Это не влияет на поле серийного номера финального сертификата |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512 По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST) |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке Не может быть больше, чем максимальный TTL роли |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA По умолчанию имеет значение false |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми Ограничивается значением allowed_user_ids Любые значения добавляются с OID 0.9.2342.19200300.100.1.1 |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
POST /{pki_mount_path}/sign/{role}
ID операции: pki-sign-with-role.
Запросите сертификаты, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names Если в роли включена защита электронной почты, это может быть адрес электронной почты |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты По умолчанию значение false (CN включается) |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных Может быть “pem”, “der” или “pem_bundle” Если “pem_bundle”, то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem Если “der”, то значение будет закодировано в base64 По умолчанию используется значение “pem” |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_ref |
string (default: default) | нет | Ссылка на существующего эмитента; либо “default” для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту |
not_after |
string | нет | Устанавливает в поле “Не после” сертификата указанное значение даты Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа Обычно по умолчанию параметр “format” определяет формат либо base64-кодированного DER, либо PEM-кодированного DER Однако можно задать значение “pkcs8”, чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8 По умолчанию используется значение “der” |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется Описание этого поля см. в RFC 4519 Раздел 2.31 ‘serialNumber’ Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5 Это не влияет на поле серийного номера финального сертификата |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке Не может быть больше, чем максимальный TTL роли |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми Ограничивается значением allowed_user_ids Любые значения добавляются с OID 0.9.2342.19200300.100.1.1 |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
POST /{pki_mount_path}/tidy
ID операции: pki-tidy.
Осуществляет очистку бэкенда от просроченных сертификатов и (или) данных об отзыве.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_safety_buffer |
integer (default: 2592000) | нет | Количество времени, которое должно пройти после создания, чтобы аккаунт, не имеющий заказов, был помечен как отозванный, а также количество времени после того, как он был помечен как отозванный или деактивированный |
issuer_safety_buffer |
integer (default: 31536000) | нет | Количество дополнительного времени, которое должно пройти после истечения срока действия эмитента, прежде чем он будет удален из внутреннего хранилища По умолчанию 8760 часов (1 год) |
pause_duration |
string (default: 0s) | нет | Количество времени ожидания между сертификатами обработки Это позволяет операторам изменять профиль выполнения tidy, чтобы он потреблял меньше ресурсов, замедляя время выполнения Обратите внимание, что весь список сертификатов будет храниться в памяти в течение всей операции tidy, но ресурсы для чтения/обработки/обновления существующих записей будут распределены на больший промежуток времени По умолчанию это ноль секунд |
revocation_queue_safety_buffer |
integer (default: 172800) | нет | Количество времени, которое должно пройти с момента инициирования межкластерного запроса на отзыв до момента, когда он будет отправлен на удаление Слишком низкое значение этого параметра может привести к удалению действительных запросов на отзыв до того, как кластер-владелец успеет их обработать, особенно если кластер находится в автономном режиме |
safety_buffer |
integer (default: 259200) | нет | Количество дополнительного времени, которое должно пройти после истечения срока действия сертификата, чтобы он был удален из внутреннего хранилища и/или списка отзыва По умолчанию 72 часа |
tidy_acme |
boolean (default: False) | нет | Установите значение true, чтобы включить очистку счетов, заказов и авторизаций ACME Заказы ACME убираются (удаляются) safety_buffer после истечения срока действия связанного с ними сертификата, или после истечения срока действия заказа и соответствующих авторизаций, если сертификат не был изготовлен Авторизации удаляются вместе с соответствующим заказом Когда возраст действующего аккаунта ACME составляет не менее acme_account_safety_buffer, и у него не остается связанных с ним заказов, аккаунт помечается как отозванный После того как с даты отзыва или деактивации пройдет еще один буфер безопасности acme_account_safety_buffer, отозванный или деактивированный аккаунт ACME удаляется |
tidy_cert_store |
boolean | нет | Установите значение true, чтобы разрешить очистку хранилища сертификатов |
tidy_cross_cluster_revoked_certs |
boolean | нет | Установите значение true, чтобы включить очистку межкластерного хранилища отозванных сертификатов Запускается только на активном основном узле |
tidy_expired_issuers |
boolean | нет | Установите значение true для автоматического удаления истекших эмитентов из буфера issuer_safety_buffer Никакие ключи не будут удалены в ходе этой операции |
tidy_move_legacy_ca_bundle |
boolean | нет | Установите значение true, чтобы переместить устаревший ca_bundle из /config/ca_bundle в /config/ca_bundle.bak Это предотвращает переход на версии до Vault 1.11 (поскольку старые PKI-движки не знают о новой схеме хранения нескольких эмитентов), но улучшает производительность при монтировании PKI с печатью Это произойдет только в том случае, если после первоначального переноса хранилища прошло не менее issuer_safety_buffer времени Этот резерв сохраняется на случай возникновения проблем в будущих миграциях При желании операторы могут удалить ее через sys/raw Резервная копия будет удалена вызовом DELETE /root, но обратите внимание, что при этом удаляются ВСЕ эмитенты в пределах монтирования (и, следовательно, это нежелательно в большинстве сценариев работы) |
tidy_revocation_list |
boolean | нет | Утратил силу; синоним для ‘tidy_revoked_certs |
tidy_revocation_queue |
boolean (default: False) | нет | Установите значение true, чтобы удалить устаревшие записи очереди отзыва, которые не были подтверждены ни одним активным кластером Запускается только на активном основном узле |
tidy_revoked_cert_issuer_associations |
boolean | нет | Установите значение true для проверки ассоциаций эмитентов в записях отзыва Это помогает повысить производительность создания CRL и ответов OCSP |
tidy_revoked_certs |
boolean | нет | Установите значение true, чтобы прекратить действие всех отозванных и просроченных сертификатов, удалив их как из CRL, так и из хранилища CRL будет ротирован, если это приведет к удалению каких-либо значений |
Ответы
202: Принято.
POST /{pki_mount_path}/tidy-cancel
ID операции: pki-tidy-cancel.
Отменяет текущую операцию tidy.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_deleted_count |
integer | нет | Количество удалённых отозванных аккаунтов acme |
acme_account_revoked_count |
integer | нет | Количество отозванных неиспользуемых аккаунтов acme |
acme_account_safety_buffer |
integer | нет | Буфер безопасности после создания, после которого аккаунты, у которых нет заказов, будут отозваны |
acme_orders_deleted_count |
integer | нет | Количество удалённых просроченных, неиспользованных заказов acme |
cert_store_deleted_count |
integer | нет | Количество удаленных записей хранилища сертификатов |
cross_revoked_cert_deleted_count |
integer | нет | |
current_cert_store_count |
integer | нет | Количество удалённых записей отзыва сертификатов |
current_revoked_cert_count |
integer | нет | Количество удалённых записей отзыва сертификатов |
error |
string | нет | Сообщение об ошибке |
internal_backend_uuid |
string | нет | |
issuer_safety_buffer |
integer | нет | Буфер безопасности издателя |
last_auto_tidy_finished |
string | нет | Время завершения последней автоматической операции очистки |
message |
string | нет | Сообщение операции |
missing_issuer_cert_count |
integer | нет | |
pause_duration |
string | нет | Время паузы между упорядочиванием сертификатов |
revocation_queue_deleted_count |
integer | нет | |
revocation_queue_safety_buffer |
integer | нет | Буфер безопасности очереди отзыва |
revoked_cert_deleted_count |
integer | нет | Количество удалённых записей отзыва сертификатов |
safety_buffer |
integer | нет | Длительность временного буфера безопасности |
state |
string | нет | Одно из: неактивен, работает, завершен или ошибка |
tidy_acme |
boolean | нет | Очистка неиспользуемых аккаунтов и заказов Acme |
tidy_cert_store |
boolean | нет | Запускает очистку хранилища сертификатов |
tidy_cross_cluster_revoked_certs |
boolean | нет | Очистка кросс-кластерного хранилища отозванных сертификатов |
tidy_expired_issuers |
boolean | нет | Очистка истекших издателей |
tidy_move_legacy_ca_bundle |
boolean | нет | |
tidy_revocation_queue |
boolean | нет | |
tidy_revoked_cert_issuer_associations |
boolean | нет | Очистка ассоциаций отозванных сертификатов и их издателей |
tidy_revoked_certs |
boolean | нет | Очистка отозванных сертификатов |
time_finished |
string | нет | Время завершения операции |
time_started |
string | нет | Время начала операции |
total_acme_account_count |
integer | нет | Общее количество пройденных аккаунтов Acme |
GET /{pki_mount_path}/tidy-status
ID операции: pki-tidy-status.
Возвращает статус операции tidy.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_deleted_count |
integer | нет | Количество удалённых отозванных аккаунтов acme |
acme_account_revoked_count |
integer | нет | Количество отозванных неиспользуемых аккаунтов acme |
acme_account_safety_buffer |
integer | нет | Буфер безопасности после создания, после которого аккаунты, у которых нет заказов, будут отозваны |
acme_orders_deleted_count |
integer | нет | Количество удалённых просроченных, неиспользованных заказов acme |
cert_store_deleted_count |
integer | нет | Количество удаленных записей хранилища сертификатов |
cross_revoked_cert_deleted_count |
integer | нет | |
current_cert_store_count |
integer | нет | Количество удалённых записей отзыва сертификатов |
current_revoked_cert_count |
integer | нет | Количество удалённых записей отзыва сертификатов |
error |
string | нет | Сообщение об ошибке |
internal_backend_uuid |
string | нет | |
issuer_safety_buffer |
integer | нет | Буфер безопасности издателя |
last_auto_tidy_finished |
string | нет | Время завершения последней автоматической операции очистки |
message |
string | нет | Сообщение операции |
missing_issuer_cert_count |
integer | нет | |
pause_duration |
string | нет | Время паузы между упорядочиванием сертификатов |
revocation_queue_deleted_count |
integer | нет | |
revocation_queue_safety_buffer |
integer | нет | Буфер безопасности очереди отзыва |
revoked_cert_deleted_count |
integer | нет | Количество удалённых записей отзыва сертификатов |
safety_buffer |
integer | нет | Длительность временного буфера безопасности |
state |
string | нет | Одно из: неактивен, работает, завершен или ошибка |
tidy_acme |
boolean | нет | Очистка неиспользуемых аккаунтов и заказов Acme |
tidy_cert_store |
boolean | нет | Запускает очистку хранилища сертификатов |
tidy_cross_cluster_revoked_certs |
boolean | нет | Очистка кросс-кластерного хранилища отозванных сертификатов |
tidy_expired_issuers |
boolean | нет | Очистка истекших издателей |
tidy_move_legacy_ca_bundle |
boolean | нет | |
tidy_revocation_queue |
boolean | нет | |
tidy_revoked_cert_issuer_associations |
boolean | нет | Очистка ассоциаций отозванных сертификатов и их издателей |
tidy_revoked_certs |
boolean | нет | Очистка отозванных сертификатов |
time_finished |
string | нет | Время завершения операции |
time_started |
string | нет | Время начала операции |
total_acme_account_count |
integer | нет | Общее количество пройденных аккаунтов acme |
GET /{pki_mount_path}/unified-crl
ID операции: pki-read-unified-crl-der.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{pki_mount_path}/unified-crl/delta
ID операции: pki-read-unified-crl-delta.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{pki_mount_path}/unified-crl/delta/pem
ID операции: pki-read-unified-crl-delta-pem.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{pki_mount_path}/unified-crl/pem
ID операции: pki-read-unified-crl-pem.
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{pki_mount_path}/unified-ocsp
ID операции: pki-query-unified-ocsp.
Запрос статуса отзыва сертификата через OCSP’.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{pki_mount_path}/unified-ocsp/{req}
ID операции: pki-query-unified-ocsp-with-get-req.
Запрос статуса отзыва сертификата через OCSP’.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
req |
string | path | да | запрос ocsp в кодировке base-64 |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{rabbitmq_mount_path}/config/connection
ID операции: rabbit-mq-configure-connection.
Настроить URI подключения, имя пользователя и пароль для работы с RabbitMQ management HTTP API.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
connection_uri |
string | нет | URI управления RabbitMQ |
password |
string | нет | Пароль предоставленного пользователя управления RabbitMQ |
password_policy |
string | нет | Имя политики паролей, используемой для генерации паролей для динамических учетных данных |
username |
string | нет | Имя пользователя администратора управления RabbitMQ |
username_template |
string | нет | Шаблон, описывающий, как генерируются динамические имена пользователей |
verify_connection |
boolean (default: True) | нет | Если установлено, connection_uri проверяется путем фактического подключения к API управления RabbitMQ |
Ответы
200: OK.
GET /{rabbitmq_mount_path}/config/lease
ID операции: rabbit-mq-read-lease-configuration.
Настройка параметров аренды для сгенерированных учетных данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{rabbitmq_mount_path}/config/lease
ID операции: rabbit-mq-configure-lease.
Настройка параметров аренды для сгенерированных учетных данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
max_ttl |
integer (default: 0) | нет | Срок, по истечении которого выданные учетные данные не должны быть возобновлены |
ttl |
integer (default: 0) | нет | Срок, до которого необходимо обновить выданные учетные данные |
Ответы
200: OK.
GET /{rabbitmq_mount_path}/creds/{name}
ID операции: rabbit-mq-request-credentials.
Запросите учетные данные RabbitMQ для определенной роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{rabbitmq_mount_path}/roles
ID операции: rabbit-mq-list-roles.
Управление ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /{rabbitmq_mount_path}/roles/{name}
ID операции: rabbit-mq-read-role.
Управление ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{rabbitmq_mount_path}/roles/{name}
ID операции: rabbit-mq-write-role.
Управление ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
tags |
string | нет | Список тегов для этой роли, разделенный запятыми |
vhost_topics |
string | нет | Вложенная карта виртуальных хостов и обменов с правами доступа к темам |
vhosts |
string | нет | Карта виртуальных хостов для разрешений |
Ответы
200: OK.
DELETE /{rabbitmq_mount_path}/roles/{name}
ID операции: rabbit-mq-delete-role.
Управление ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /{ssh_mount_path}/config/ca
ID операции: ssh-read-ca-configuration.
Установите SSH-ключ, используемый для подписи сертификатов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{ssh_mount_path}/config/ca
ID операции: ssh-configure-ca.
Установите SSH-ключ, используемый для подписи сертификатов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
generate_signing_key |
boolean (default: True) | нет | Генерируйте пару ключей SSH самостоятельно, а не используйте поля private_key и public_key |
key_bits |
integer (default: 0) | нет | Указывает желаемые биты ключа при генерации ключей переменной длины (например, при key_type=”ssh-rsa”) или P-кривую NIST, которую следует использовать при key_type=”ec” (256, 384 или 521) |
key_type |
string (default: ssh-rsa) | нет | Указывает желаемый тип ключа при генерации; может быть идентификатором типа ключа OpenSSH (ssh-rsa, ecdsa-sha2-nistp256, ecdsa-sha2-nistp384, ecdsa-sha2-nistp521 или ssh-ed25519) или алгоритмом (rsa, ec, ed25519) |
private_key |
string | нет | Приватная половина SSH-ключа, который будет использоваться для подписи сертификатов |
public_key |
string | нет | Публичная половина SSH-ключа, который будет использоваться для подписи сертификатов |
Ответы
200: OK.
DELETE /{ssh_mount_path}/config/ca
ID операции: ssh-delete-ca-configuration.
Установите SSH-ключ, используемый для подписи сертификатов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /{ssh_mount_path}/config/zeroaddress
ID операции: ssh-read-zero-address-configuration.
Назначает нулевой адрес в качестве блока CIDR по умолчанию для выбранных ролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{ssh_mount_path}/config/zeroaddress
ID операции: ssh-configure-zero-address.
Назначает нулевой адрес в качестве блока CIDR по умолчанию для выбранных ролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
roles |
array | нет | [Обязательный] Список имен ролей, разделенных запятыми, который позволяет запрашивать учетные данные для любого IP-адреса. Блоки CIDR, ранее зарегистрированные под этими ролями, будут игнорироваться |
Ответы
200: OK.
DELETE /{ssh_mount_path}/config/zeroaddress
ID операции: ssh-delete-zero-address-configuration.
Назначает нулевой адрес в качестве блока CIDR по умолчанию для выбранных ролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /{ssh_mount_path}/creds/{role}
ID операции: ssh-generate-credentials.
Создает учетные данные для установления SSH соединения с удаленным хостом.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | [Обязательный] Имя роли |
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ip |
string | нет | [Обязательный] IP-адрес удаленного узла |
username |
string | нет | [Необязательно] Имя пользователя на удаленном хосте |
Ответы
200: OK.
POST /{ssh_mount_path}/issue/{role}
ID операции: ssh-issue-certificate.
Запросите сертификат, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль с конфигурацией для данного запроса |
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cert_type |
string (default: user) | нет | Тип создаваемого сертификата; либо “пользователь”, либо “хост” |
critical_options |
object | нет | Критические параметры, для которых должен быть подписан сертификат |
extensions |
object | нет | Расширения, для которых должен быть подписан сертификат |
key_bits |
integer (default: 0) | нет | Указывает количество бит, используемых для генерируемых ключей |
key_id |
string | нет | Идентификатор ключа, который должен быть у создаваемого сертификата. Если он не указан, будет использоваться отображаемое имя токена |
key_type |
string (default: rsa) | нет | Указывает желаемый тип ключа; должен быть rsa, ed25519 или ec |
ttl |
integer | нет | Запрашиваемое время жизни для сертификата SSH; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть позже, чем максимальный TTL роли |
valid_principals |
string | нет | Действительные принципалы, либо имена пользователей, либо имена хостов, для которых должен быть подписан сертификат |
Ответы
200: OK.
POST /{ssh_mount_path}/lookup
ID операции: ssh-list-roles-by-ip.
Список всех ролей, связанных с данным IP-адресом.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ip |
string | нет | [Обязательный] IP-адрес удаленного узла |
Ответы
200: OK.
GET /{ssh_mount_path}/public_key
ID операции: ssh-read-public-key.
Получает открытый ключ.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{ssh_mount_path}/roles
ID операции: ssh-list-roles.
Управление “ролями”, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /{ssh_mount_path}/roles/{role}
ID операции: ssh-read-role.
Управление “ролями”, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | [Обязательный для всех типов] Имя создаваемой роли |
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{ssh_mount_path}/roles/{role}
ID операции: ssh-write-role.
Управление “ролями”, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | [Обязательный для всех типов] Имя создаваемой роли |
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm_signer |
string (, default, ssh-rsa, rsa-sha2-256, rsa-sha2-512) | нет | [Неприменимо для типа OTP] [Необязательно для типа CA] При указании этого значения задается алгоритм подписи для ключа. Возможные значения: ssh-rsa, rsa-sha2-256, rsa-sha2-512, default или пустая строка |
allow_bare_domains |
boolean | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, запрашиваемым сертификатам хоста разрешается использовать базовые домены, перечисленные в “allowed_domains”, например “example.com”. Это отдельная опция, поскольку в некоторых случаях это может рассматриваться как угроза безопасности |
allow_host_certificates |
boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, сертификаты разрешено подписывать для использования в качестве “хоста” |
allow_subdomains |
boolean | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, запрашиваемым сертификатам хоста разрешается использовать поддомены из списка “allowed_domains” |
allow_user_certificates |
boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, сертификаты разрешено подписывать для использования в качестве “пользователя” |
allow_user_key_ids |
boolean | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если true, пользователи могут переопределить идентификатор ключа для подписанного сертификата с помощью поля “key_id”. Если значение false, идентификатором ключа всегда будет отображаемое имя токена. Идентификатор ключа записывается в журнал на сервере SSH и может быть полезен для аудита |
allowed_critical_options |
string | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Список критических опций, которые могут быть у сертификатов при подписании, разделенный запятыми. Чтобы разрешить любые критические параметры, установите это значение в пустую строку |
allowed_domains |
string | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если этот параметр не указан, клиент может запросить подписанный сертификат для любого действительного хоста. Если разрешены только определенные домены, то этот список обеспечивает это |
allowed_domains_template |
boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, разрешенные домены могут быть указаны с помощью политик шаблонов идентификации. Домены без шаблонов также разрешены |
allowed_extensions |
string | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Список расширений, которые могут быть у сертификатов при подписании, разделенный запятыми. Пустой список означает, что конечный пользователь не может переопределять расширения; явно укажите ‘*’, чтобы разрешить установку любых расширений |
allowed_user_key_lengths |
object | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, позволяет использовать типы ключей и минимальные размеры ключей для подписи |
allowed_users |
string | нет | [Необязательно для всех типов] [Работает по-разному для типа CA] Если этот параметр не указан или имеет значение ‘’, клиент может запросить учетные данные для любого действительного пользователя на удаленном узле, включая пользователя admin. Если должны быть разрешены только определенные имена пользователей, то этот список обеспечит это. Если это поле установлено, то учетные данные могут быть созданы только для default_user и имен пользователей, присутствующих в этом списке. Установка этого параметра позволит всем пользователям с доступом к этой роли получать учетные данные для всех остальных имен пользователей в этом списке. Используйте с осторожностью. N.B.: для типа CA пустой список означает, что ни один пользователь не разрешен; укажите ‘’, чтобы разрешить любого пользователя |
allowed_users_template |
boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, разрешенные пользователи могут быть указаны с помощью политик шаблонов идентификации. Пользователи без шаблонов также разрешены |
cidr_list |
string | нет | [Необязательно для типа OTP] [Не применимо для типа CA] Список блоков CIDR, для которых применима роль, разделенный запятыми. Блоки CIDR могут принадлежать более чем одной роли |
default_critical_options |
object | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Критические параметры, которыми должны обладать сертификаты, если при подписании они не были предоставлены. Это поле принимает пары ключ-значение в формате JSON. Обратите внимание, что они не ограничены параметром “allowed_critical_options”. По умолчанию - нет |
default_extensions |
object | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Расширения, которые должны быть у сертификатов, если они не были предоставлены при подписании. Это поле принимает пары ключ-значение в формате JSON. Обратите внимание, что они не ограничены параметром “allowed_extensions”. По умолчанию - нет |
default_extensions_template |
boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, значения расширения по умолчанию могут быть указаны с помощью политик шаблонов идентификации. Также допускается использование нешаблонных значений расширения |
default_user |
string | нет | [Обязательно для типа OTP] [Необязательно для типа CA] Имя пользователя по умолчанию, для которого будет сгенерирован мандат. Если метод ‘creds/’ используется без имени пользователя, это значение будет использоваться в качестве имени пользователя по умолчанию |
default_user_template |
boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, пользователь по умолчанию может быть указан с помощью политик шаблонов идентификации. Пользователи без шаблонов также разрешены |
exclude_cidr_list |
string | нет | [Необязательно для типа OTP] [Не применимо для типа CA] Список блоков CIDR, разделенных запятыми. IP-адреса, принадлежащие этим блокам, не принимаются ролью. Это особенно полезно, когда роль использует большие блоки CIDR и некоторые их части должны быть закрыты |
key_id_format |
string | нет | [Неприменимо для типа OTP] [Необязательно для типа CA] При указании этого значения задается пользовательский формат идентификатора ключа подписанного сертификата. Для использования доступны следующие переменные: ‘{{token_display_name}}’ - Отображаемое имя токена, используемого для выполнения запроса. ‘{{role_name}}’ - Имя роли, подписывающей запрос. ‘{{public_key_hash}}’ - Контрольная сумма SHA256 открытого ключа, который подписывается |
key_type |
string (otp, ca) | нет | [Обязательный для всех типов] Тип ключа, используемого для входа на хосты. Он может быть либо ‘otp’, либо ‘ca’. Тип ‘otp’ требует установки агента на удаленных хостах |
max_ttl |
integer | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Максимально допустимая продолжительность аренды |
not_before_duration |
integer (default: 30) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Продолжительность, на которую должен быть отсрочен сертификат SSH при выпуске |
port |
integer | нет | [Необязательно для типа OTP] [Не применимо для типа CA] Номер порта для SSH-соединения. По умолчанию - ‘22’. Номер порта не играет никакой роли при создании OTP. Для типа ‘otp’ это просто способ сообщить клиенту номер порта, который необходимо использовать. Номер порта будет возвращен клиенту сервером Vault вместе с OTP |
ttl |
integer | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Продолжительность аренды, если не запрашивается конкретная продолжительность аренды. Продолжительность аренды контролирует истечение срока действия сертификатов, выпущенных этим бэкендом. По умолчанию соответствует значению max_ttl |
Ответы
200: OK.
DELETE /{ssh_mount_path}/roles/{role}
ID операции: ssh-delete-role.
Управление “ролями”, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | [Обязательный для всех типов] Имя создаваемой роли |
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /{ssh_mount_path}/sign/{role}
ID операции: ssh-sign-certificate.
Запросите подпись SSH-ключа с использованием определенной роли с предоставленными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль с конфигурацией для данного запроса |
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cert_type |
string (default: user) | нет | Тип создаваемого сертификата; либо “пользователь”, либо “хост” |
critical_options |
object | нет | Критические параметры, для которых должен быть подписан сертификат |
extensions |
object | нет | Расширения, для которых должен быть подписан сертификат |
key_id |
string | нет | Идентификатор ключа, который должен быть у создаваемого сертификата. Если он не указан, будет использоваться отображаемое имя токена |
public_key |
string | нет | Открытый ключ SSH, который должен быть подписан |
ttl |
integer | нет | Запрашиваемое время жизни для сертификата SSH; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть позже, чем максимальный TTL роли |
valid_principals |
string | нет | Действительные принципалы, либо имена пользователей, либо имена хостов, для которых должен быть подписан сертификат |
Ответы
200: OK.
DELETE /{ssh_mount_path}/tidy/dynamic-keys
ID операции: ssh-tidy-dynamic-host-keys.
Обращение к этому методу удаляет сохраненные хост-ключи, используемые для удаленной функции динамического ключа, если они присутствуют.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /{ssh_mount_path}/verify
ID операции: ssh-verify-otp.
Проверить OTP, предоставленный агентом SSH Vault.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
otp |
string | нет | [Обязательный] Одноразовый ключ, который необходимо подтвердить |
Ответы
200: OK.
GET /{totp_mount_path}/code/{name}
ID операции: totp-generate-code.
Запрос одноразового пароля на основе времени или проверка пароля для определенного ключа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название ключа |
totp_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{totp_mount_path}/code/{name}
ID операции: totp-validate-code.
Запрос одноразового пароля на основе времени или проверка пароля для определенного ключа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название ключа |
totp_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
code |
string | нет | Код TOTP должен быть подтвержден |
Ответы
200: OK.
GET /{totp_mount_path}/keys
ID операции: totp-list-keys.
Управление ключами, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
totp_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /{totp_mount_path}/keys/{name}
ID операции: totp-read-key.
Управление ключами, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название ключа |
totp_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string | query | нет | Возвращает список, если true |
Ответы
200: OK.
POST /{totp_mount_path}/keys/{name}
ID операции: totp-create-key.
Управление ключами, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название ключа |
totp_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
account_name |
string | нет | Имя учетной записи, связанной с ключом. Требуется, если значение generate равно true |
algorithm |
string (default: SHA1) | нет | Алгоритм хэширования, используемый для генерации токена TOTP. Варианты включают SHA1, SHA256 и SHA512 |
digits |
integer (default: 6) | нет | Количество цифр в генерируемом TOTP-токене. Это значение может быть либо 6, либо 8 |
exported |
boolean (default: True) | нет | Определяет, возвращать ли QR-код и url при генерации ключа. Используется только в том случае, если значение generate равно true |
generate |
boolean (default: False) | нет | Определяет, должен ли ключ быть сгенерирован Vault или ключ передается из другого сервиса |
issuer |
string | нет | Имя организации, выдавшей ключ. Требуется, если значение generate равно true |
key |
string | нет | Общий мастер-ключ, используемый для генерации токена TOTP. Используется только в том случае, если значение generate равно false |
key_size |
integer (default: 20) | нет | Определяет размер в байтах генерируемого ключа. Используется только в том случае, если generate равно true |
period |
integer (default: 30) | нет | Длительность времени, используемого для генерации счетчика для расчета токена TOTP |
qr_size |
integer (default: 200) | нет | Размер в пикселях сгенерированного квадратного QR-кода. Используется только в том случае, если generate - true и exported - true. Если это значение равно 0, QR-код не будет возвращен |
skew |
integer (default: 1) | нет | Количество периодов задержки, допустимых при проверке токена TOTP. Это значение может быть либо 0, либо 1. Используется только в том случае, если значение generate равно true |
url |
string | нет | Строка TOTP url, содержащая все параметры для настройки ключа. Используется только в том случае, если значение generate равно false |
Ответы
200: OK.
DELETE /{totp_mount_path}/keys/{name}
ID операции: totp-delete-key.
Управление ключами, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название ключа |
totp_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
GET /{transit_mount_path}/backup/{name}
ID операции: transit-back-up-key.
Резервное копирование именованного ключа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{transit_mount_path}/byok-export/{destination}/{source}
ID операции: transit-byok-key.
Безопасный экспорт именованного ключа шифрования или подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
destination |
string | path | да | Ключ назначения для экспорта; обычно это открытый ключ обертки другого экземпляра Transit |
source |
string | path | да | Исходный ключ для экспорта; это может быть любой присутствующий ключ в Transit |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{transit_mount_path}/byok-export/{destination}/{source}/{version}
ID операции: transit-byok-key-version.
Безопасный экспорт именованного ключа шифрования или подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
destination |
string | path | да | Ключ назначения для экспорта; обычно это открытый ключ обертки другого экземпляра Transit |
source |
string | path | да | Исходный ключ для экспорта; это может быть любой присутствующий ключ в Transit |
version |
string | path | да | Необязательная версия ключа для экспорта, в противном случае экспортируются все версии ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{transit_mount_path}/cache-config
ID операции: transit-read-cache-configuration.
Возвращает размер активного кэша.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{transit_mount_path}/cache-config
ID операции: transit-configure-cache.
Настраивает новый кэш указанного размера.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
size |
integer (default: 0) | нет | Размер кэша, используйте 0 для неограниченного размера кэша, по умолчанию 0 |
Ответы
200: OK.
GET /{transit_mount_path}/config/keys
ID операции: transit-read-keys-configuration.
Конфигурация, общая для всех ключей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{transit_mount_path}/config/keys
ID операции: transit-configure-keys.
Конфигурация, общая для всех ключей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disable_upsert |
boolean | нет | Разрешить ли автоматическую установку (создание) ключей |
Ответы
200: OK.
POST /{transit_mount_path}/datakey/{plaintext}/{name}
ID операции: transit-generate-data-key.
Создайте ключ данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Ключ бэкенда, используемый для шифрования данных |
plaintext |
string | path | да | “plaintext” вернет ключ как в открытом, так и в зашифрованном виде; “wrapped” вернет только зашифрованный текст |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bits |
integer (default: 256) | нет | Количество бит для ключа; в настоящее время поддерживаются 128, 256 и 512 бит По умолчанию используется значение 256 |
context |
string | нет | Контекст для выведения ключей Требуется для производных ключей |
key_version |
integer | нет | Версия ключа Vault, которую следует использовать для шифрования ключа данных Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа |
nonce |
string | нет | Нонс для использования конвергентного шифрования v1 (только в Vault 0.6.1) |
Ответы
200: OK.
POST /{transit_mount_path}/decrypt/{name}
ID операции: transit-decrypt.
Расшифруйте значение шифротекста с помощью именованного ключа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
associated_data |
string | нет | При использовании режима шифрования AEAD, например AES-GCM, этот параметр позволяет передавать связанные данные (AD/AAD) в функцию шифрования; эти данные должны передаваться при последующих запросах на дешифрование, но могут передаваться в открытом виде При успешном расшифровании и шифротекст, и ассоциированные данные подтверждаются, что они не были подделаны |
batch_input |
array | нет | Указывает список элементов, которые должны быть расшифрованы в одной партии При задании этого параметра, если параметры ‘ciphertext’, ‘context’ и ‘nonce’ также заданы, они будут проигнорированы Любой пакетный вывод будет сохранять порядок ввода пакета |
ciphertext |
string | нет | Шифротекст для расшифровки, который возвращается командой encrypt |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа Требуется, если деривация ключей включена |
nonce |
string | нет | Закодированное в Base64 значение nonce, используемое при шифровании Должно быть указано, если для этого ключа включено конвергентное шифрование и ключ был создан в Vault 0.6.1 Не требуется для ключей, созданных в версии 0.6.2+ |
partial_failure_response_code |
integer | нет | Обычно, если пакетный элемент не удается расшифровать из-за плохого ввода, но другие пакетные элементы работают успешно, код ответа HTTP равен 400 (плохой запрос) Некоторые приложения могут захотеть обрабатывать частичные сбои по-другому В этом случае при указании параметра вместо 400 возвращается целое число с заданным кодом ответа Если все значения не сработали, все равно возвращается HTTP 400 |
Ответы
200: OK.
POST /{transit_mount_path}/encrypt/{name}
ID операции: transit-encrypt.
Зашифруйте значение открытого текста или пакет блоков открытого текста блоков с помощью именованного ключа.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
associated_data |
string | нет | При использовании режима шифрования AEAD, например AES-GCM, этот параметр позволяет передавать связанные данные (AD/AAD) в функцию шифрования; эти данные должны передаваться при последующих запросах на дешифрование, но могут передаваться в открытом виде При успешном расшифровании и шифротекст, и ассоциированные данные подтверждаются, что они не были подделаны |
batch_input |
array | нет | Указывает список элементов, которые должны быть зашифрованы в одном пакете При задании этого параметра, если параметры ‘plaintext’, ‘context’ и ‘nonce’ также заданы, они будут проигнорированы Любой пакетный вывод будет сохранять порядок ввода пакета |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа Требуется, если деривация ключей включена |
convergent_encryption |
boolean | нет | Этот параметр будет использоваться только в том случае, если предполагается создание ключа Поддерживать ли конвергентное шифрование Поддерживается только при использовании ключа с включенной функцией деривации ключа и требует, чтобы все запросы содержали контекст и 96-битный (12-байтный) nonce (одноразовый идентификатор текущей попытки смены ключа). Данный идентификатор будет использоваться вместо случайно сгенерированного. В результате, при предоставлении одинакового контекста и nonce будет сгенерирован один и тот же шифртекст. При использовании этого режима очень важно убедиться, что все несы уникальны для данного контекста. В противном случае безопасность шифротекста будет снижена |
key_version |
integer | нет | Версия ключа, используемая для шифрования Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа |
nonce |
string | нет | Закодированное в Base64 значение nonce Должно быть предоставлено, если для этого ключа включено конвергентное шифрование и ключ был создан с помощью Vault 0.6.1 Не требуется для ключей, созданных в версии 0.6.2+ Значение должно иметь длину ровно 96 бит (12 байт), и пользователь должен убедиться, что для любого заданного контекста (и, следовательно, для любого заданного ключа шифрования) это значение nonce никогда не используется повторно |
partial_failure_response_code |
integer | нет | Обычно, если пакетный элемент не удается зашифровать из-за плохого ввода, но другие пакетные элементы работают успешно, код ответа HTTP равен 400 (плохой запрос) Некоторые приложения могут захотеть обрабатывать частичные сбои по-другому В этом случае при указании параметра вместо 400 возвращается целое число с заданным кодом ответа Если все значения не сработали, все равно возвращается HTTP 400 |
plaintext |
string | нет | Зашифрованное в Base64 значение открытого текста для шифрования |
type |
string (default: aes256-gcm96) | нет | Этот параметр необходим, если предполагается создать ключ шифрования При выполнении операции upsert - тип создаваемого ключа В настоящее время поддерживаются только типы “aes128-gcm96” (симметричный) и “aes256-gcm96” (симметричный) По умолчанию используется “aes256-gcm96” |
Ответы
200: OK.
GET /{transit_mount_path}/export/{type}/{name}
ID операции: transit-export-key.
Экспорт именованного ключа шифрования или подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
type |
string | path | да | Тип ключа для экспорта (ключ шифрования, ключ подписи, hmac-ключ, открытый ключ) |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
GET /{transit_mount_path}/export/{type}/{name}/{version}
ID операции: transit-export-key-version.
Экспорт именованного ключа шифрования или подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
type |
string | path | да | Тип ключа для экспорта (ключ шифрования, ключ подписи, hmac-ключ, открытый ключ) |
version |
string | path | да | Версия ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{transit_mount_path}/hash
ID операции: transit-hash.
Сгенерируйте хеш-сумму для входных данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Используемый алгоритм (параметр тела POST) Допустимые значения:”sha2-224”, “sha2-256”, “sha2-384”, “sha2-512”, “sha3-224”, “sha3-256”, “sha3-384”, “sha3-512” По умолчанию - “sha2-256” |
format |
string (default: hex) | нет | Используемый формат кодировки Может быть “hex” или “base64” По умолчанию используется “hex” |
input |
string | нет | Входные данные в кодировке base64 |
urlalgorithm |
string | нет | Используемый алгоритм (параметр POST URL) |
Ответы
200: OK.
POST /{transit_mount_path}/hash/{urlalgorithm}
ID операции: transit-hash-with-algorithm.
Сгенерируйте хеш-сумму для входных данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
urlalgorithm |
string | path | да | Используемый алгоритм (параметр POST URL) |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Используемый алгоритм (параметр тела POST) Допустимые значения: “sha2-224”, “sha2-256”, “sha2-384”, “sha2-512”, “sha3-224”, “sha3-256”, “ sha3-384”, “sha3-512” По умолчанию - “sha2-256” |
format |
string (default: hex) | нет | Используемый формат кодировки Может быть “hex” или “base64” По умолчанию используется “hex” |
input |
string | нет | Входные данные в кодировке base64 |
Ответы
200: OK.
POST /{transit_mount_path}/hmac/{name}
ID операции: transit-generate-hmac.
Создайте HMAC для входных данных, используя именованный ключ.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Ключ, используемый для функции HMAC |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Используемый алгоритм (параметр тела POST). Допустимые значения: “sha2-224”, “sha2-256”, “sha2-384”, “sha2-512”, “sha3-224”, “sha3-256”, “ sha3-384”, “sha3-512”. По умолчанию - “sha2-256” |
batch_input |
array | нет | Задает список элементов, которые будут обрабатываться в одной партии. При задании этого параметра, если параметр ‘input’ также задан, он будет проигнорирован. При выводе любой партии сохраняется порядок ввода партии |
input |
string | нет | Входные данные в кодировке base64 |
key_version |
integer | нет | Версия ключа, используемая для генерации HMAC. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа |
urlalgorithm |
string | нет | Используемый алгоритм (параметр POST URL) |
Ответы
200: OK.
POST /{transit_mount_path}/hmac/{name}/{urlalgorithm}
ID операции: transit-generate-hmac-with-algorithm.
Создайте HMAC для входных данных, используя именованный ключ.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Ключ, используемый для функции HMAC |
urlalgorithm |
string | path | да | Используемый алгоритм (параметр POST URL) |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Используемый алгоритм (параметр тела POST). Допустимые значения: “sha2-224”, “sha2-256”, “sha2-384”, “sha2-512”, “sha3-224”, “sha3-256”, “ sha3-384”, “sha3-512”. По умолчанию - “sha2-256” |
batch_input |
array | нет | Задает список элементов, которые будут обрабатываться в одной партии. При задании этого параметра, если параметр ‘input’ также задан, он будет проигнорирован. При выводе любой партии сохраняется порядок ввода партии |
input |
string | нет | Входные данные в кодировке base64 |
key_version |
integer | нет | Версия ключа, используемая для генерации HMAC. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа |
Ответы
200: OK.
GET /{transit_mount_path}/keys
ID операции: transit-list-keys.
Управляемые именованные ключи шифрования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /{transit_mount_path}/keys/{name}
ID операции: transit-read-key.
Управляемые именованные ключи шифрования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
POST /{transit_mount_path}/keys/{name}
ID операции: transit-create-key.
Управляемые именованные ключи шифрования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_plaintext_backup |
boolean | нет | Включает создание резервной копии именованного ключа в формате открытого текста. После установки этот параметр нельзя отключить |
auto_rotate_period |
integer (default: 0) | нет | Количество времени, которое ключ должен прожить перед автоматическим поворотом. Значение 0 (по умолчанию) отключает автоматический поворот ключа |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа. При чтении ключа с включенной деривацией ключей, если тип ключа поддерживает открытые ключи, это вернет открытый ключ для данного контекста |
convergent_encryption |
boolean | нет | Поддерживать ли конвергентное шифрование. Поддерживается только при использовании ключа с включенной функцией деривации ключа и требует, чтобы все запросы содержали контекст и 96-битный (12-байтный) nonce. Указанный nonce будет использоваться вместо случайно сгенерированного. В результате, при предоставлении одинакового контекста и nonce будет сгенерирован один и тот же шифртекст. При использовании этого режима очень важно убедиться, что все несы уникальны для данного контекста. В противном случае безопасность шифротекста будет сильно снижена |
derived |
boolean | нет | Включает режим выведения ключей. Это позволяет использовать уникальные ключи для операций шифрования на каждую транзакцию |
exportable |
boolean | нет | Включает возможность экспорта ключей. Это позволяет экспортировать все действующие ключи в связке ключей |
key_size |
integer (default: 0) | нет | Размер ключа в байтах для данного алгоритма. Применяется только для HMAC и должен быть не менее 32 и не более 512 байт |
managed_key_id |
string | нет | UUID управляемого ключа, который следует использовать для этого транзитного ключа |
managed_key_name |
string | нет | Имя управляемого ключа, используемого для этого транзитного ключа |
type |
string (default: aes256-gcm96) | нет | Тип создаваемого ключа. В настоящее время “aes128-gcm96” (симметричный), “aes256-gcm96” (симметричный), “ecdsa-p256” (асимметричный), “ecdsa-p384” (асимметричный), “ecdsa-p521” (асимметричный), “ed25519” (асимметричный), “rsa-2048” (асимметричный), “rsa-3072” (асимметричный), “rsa-4096” (асимметричный) поддерживаются. По умолчанию установлено значение “aes256-gcm96” |
Ответы
200: OK.
DELETE /{transit_mount_path}/keys/{name}
ID операции: transit-delete-key.
Управляемые именованные ключи шифрования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
204: пустое тело.
POST /{transit_mount_path}/keys/{name}/config
ID операции: transit-configure-key.
Настройка именованного ключа шифрования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_plaintext_backup |
boolean | нет | Включает создание резервной копии именованного ключа в формате открытого текста. После установки этот параметр нельзя отключить |
auto_rotate_period |
integer | нет | Количество времени, которое ключ должен прожить перед автоматическим поворотом. Значение 0 отключает автоматический поворот ключа |
deletion_allowed |
boolean | нет | Разрешить ли удаление ключа |
exportable |
boolean | нет | Включает экспорт ключа. После установки этот параметр нельзя отключить |
min_decryption_version |
integer | нет | Если установлено, минимальная версия ключа, разрешенная для расшифровки. Для ключей подписи - минимальная версия, которую разрешено использовать для проверки |
min_encryption_version |
integer | нет | Если установлено, минимальная версия ключа, которую разрешено использовать для шифрования; или для ключей подписи - для подписи. Если установлено значение ноль, разрешается использовать только последнюю версию ключа |
Ответы
200: OK.
POST /{transit_mount_path}/keys/{name}/import
ID операции: transit-import-key.
Импортирует сгенерированный извне ключ в новый транзитный ключ.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_plaintext_backup |
boolean | нет | Включает создание резервной копии именованного ключа в формате открытого текста. После установки этот параметр нельзя отключить |
allow_rotation |
boolean | нет | True, если импортированный ключ может быть повернут в Vault; false в противном случае |
auto_rotate_period |
integer (default: 0) | нет | Количество времени, которое ключ должен прожить перед автоматическим поворотом. Значение 0 (по умолчанию) отключает автоматический поворот ключа |
ciphertext |
string | нет | Шифротекст ключей в base64-кодировке. Ключ AES должен быть зашифрован с помощью OAEP с помощью ключа-обертки, а затем конкатенирован с ключом импорта, обернутым ключом AES |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа. При чтении ключа с включенной деривацией ключей, если тип ключа поддерживает открытые ключи, это вернет открытый ключ для данного контекста |
derived |
boolean | нет | Включает режим выведения ключей. Это позволяет использовать уникальные ключи для операций шифрования на каждую транзакцию |
exportable |
boolean | нет | Включает возможность экспорта ключей. Это позволяет экспортировать все действующие ключи в связке ключей |
hash_function |
string (default: SHA256) | нет | Хэш-функция, используемая в качестве случайного оракула в OAEP для обертывания эфемерного ключа AES, созданного пользователем. Может быть одной из “SHA1”, “SHA224”, “SHA256” (по умолчанию), “SHA384” или “SHA512” |
public_key |
string | нет | Открытый ключ PEM в открытом тексте, который будет импортирован. Если установлено значение “ciphertext”, это поле игнорируется |
type |
string (default: aes256-gcm96) | нет | Тип импортируемого ключа. В настоящее время “aes128-gcm96” (симметричный), “aes256-gcm96” (симметричный), “ecdsa-p256” (асимметричный), “ecdsa-p384” (асимметричный), “ecdsa-p521” (асимметричный), “ed25519” (асимметричный), “rsa-2048” (асимметричный), “rsa-3072” (асимметричный), “rsa-4096” (асимметричный) поддерживаются. По умолчанию установлено значение “aes256-gcm96” |
Ответы
200: OK.
POST /{transit_mount_path}/keys/{name}/import_version
ID операции: transit-import-key-version.
Импортирует сгенерированный извне ключ в существующий импортированный ключ.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ciphertext |
string | нет | Шифротекст ключей в base64-кодировке. Ключ AES должен быть зашифрован с помощью OAEP с помощью ключа-обертки, а затем конкатенирован с ключом импорта, обернутым ключом AES |
hash_function |
string (default: SHA256) | нет | Хэш-функция, используемая в качестве случайного оракула в OAEP для обертывания эфемерного ключа AES, созданного пользователем. Может быть одной из “SHA1”, “SHA224”, “SHA256” (по умолчанию), “SHA384” или “SHA512” |
public_key |
string | нет | Открытый ключ с открытым текстом, который будет импортирован. Если установлено значение “ciphertext”, это поле игнорируется |
version |
integer | нет | Версия ключа для обновления; если оставить пустым, будет создана новая версия, если только не указан закрытый ключ, а для ключа ‘Latest’ закрытый ключ отсутствует |
Ответы
200: OK.
POST /{transit_mount_path}/keys/{name}/rotate
ID операции: transit-rotate-key.
Поворот именованного ключа шифрования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
managed_key_id |
string | нет | UUID управляемого ключа, который следует использовать для новой версии этого транзитного ключа |
managed_key_name |
string | нет | Имя управляемого ключа, который следует использовать для новой версии этого транзитного ключа |
Ответы
200: OK.
POST /{transit_mount_path}/keys/{name}/trim
ID операции: transit-trim-key.
Обрезать версии ключей для именованного ключа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
min_available_version |
integer | нет | Минимальная доступная версия для брелока. Все версии до этой версии будут удалены безвозвратно. Это значение может быть равно меньшему из ‘min_decryption_version’ и ‘min_encryption_version’. Не разрешается устанавливать это значение, если либо ‘min_encryption_version’, либо ‘min_decryption_version’ установлены в ноль |
Ответы
200: OK.
POST /{transit_mount_path}/random
ID операции: transit-generate-random.
Генерировать случайные байты.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит) |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “base64” |
source |
string (default: platform) | нет | Из какой системы брать случайные данные: “платформа”, “печать” или “все” |
urlbytes |
string | нет | Количество байт для генерации (параметр POST URL) |
Ответы
200: OK.
POST /{transit_mount_path}/random/{source}
ID операции: transit-generate-random-with-source.
Генерировать случайные байты.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
source |
string | path | да | Из какой системы брать случайные данные: “платформа”, “печать” или “все” |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит) |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “base64” |
urlbytes |
string | нет | Количество байт для генерации (параметр POST URL) |
Ответы
200: OK.
POST /{transit_mount_path}/random/{source}/{urlbytes}
ID операции: transit-generate-random-with-source-and-bytes.
Генерировать случайные байты.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
source |
string | path | да | Из какой системы брать случайные данные: “платформа”, “печать” или “все” |
urlbytes |
string | path | да | Количество байт для генерации (параметр POST URL) |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит) |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “base64” |
Ответы
200: OK.
POST /{transit_mount_path}/random/{urlbytes}
ID операции: transit-generate-random-with-bytes.
Генерировать случайные байты.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
urlbytes |
string | path | да | Количество байт для генерации (параметр POST URL) |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит) |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “base64” |
source |
string (default: platform) | нет | Из какой системы брать случайные данные: “платформа”, “печать” или “все” |
Ответы
200: OK.
POST /{transit_mount_path}/restore
ID операции: transit-restore-key.
Восстановите именованный ключ.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
backup |
string | нет | Резервная копия ключевых данных для восстановления. Это должен быть вывод конечной точки ‘backup/’ |
force |
boolean (default: False) | нет | Если установлено, а ключ с заданным именем существует, принудительно выполните операцию восстановления и отмените ключ |
name |
string | нет | Если установлено, это будет имя восстановленного ключа |
Ответы
200: OK.
POST /{transit_mount_path}/restore/{name}
ID операции: transit-restore-and-rename-key.
Восстановите именованный ключ.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Если установлено, это будет имя восстановленного ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
backup |
string | нет | Резервная копия ключевых данных для восстановления. Это должен быть вывод конечной точки ‘backup/’ |
force |
boolean (default: False) | нет | Если установлено, а ключ с заданным именем существует, принудительно выполните операцию восстановления и отмените ключ |
Ответы
200: OK.
POST /{transit_mount_path}/rewrap/{name}
ID операции: transit-rewrap.
Перевернуть шифртекст.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
batch_input |
array | нет | Указывает список элементов, которые будут повторно зашифрованы в одном пакете. При задании этого параметра, если параметры ‘ciphertext’, ‘context’ и ‘nonce’ также заданы, они будут проигнорированы. Любой пакетный вывод будет сохранять порядок ввода пакета |
ciphertext |
string | нет | Значение шифртекста для повторного обертывания |
context |
string | нет | Закодированный в Base64 контекст для выведения ключа. Требуется для производных ключей |
key_version |
integer | нет | Версия ключа, используемая для шифрования. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа |
nonce |
string | нет | Nonce для использования конвергентного шифрования |
Ответы
200: OK.
POST /{transit_mount_path}/sign/{name}
ID операции: transit-sign.
Создание подписи для входных данных с использованием именованного ключа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Ключ к использованию |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Утрачено: вместо этого используйте “hash_algorithm” |
batch_input |
array | нет | Определяет список элементов для обработки. Если этот параметр задан, любые предоставленные параметры ‘input’ или ‘context’ будут проигнорированы. Ответы возвращаются в массиве ‘batch_results’ в элементе ‘data’ ответа. Любой пакетный вывод будет сохранять порядок пакетного ввода |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена; в настоящее время доступен только для ключей ed25519 |
hash_algorithm |
string (default: sha2-256) | нет | Используемый алгоритм хэширования (параметр тела POST). Допустимые значения: “sha1”, “sha2-224”, “sha2-256”, “sha2-384”, “sha2-512”, “sha3-224”, “sha3-256”, “sha3-384”, “sha3-512”, none. По умолчанию установлено значение “sha2-256”. Не подходит для всех типов ключей, включая ed25519. Использование none требует установки prehashed=true и signature_algorithm=pkcs1v15, что дает PKCSv1_5_NoOID вместо обычной подписи PKCSv1_5_DERnull |
input |
string | нет | Входные данные в кодировке base64 |
key_version |
integer | нет | Версия ключа, которую следует использовать для подписи. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа |
marshaling_algorithm |
string (default: asn1) | нет | Метод, с помощью которого будет сортироваться подпись. По умолчанию используется ‘asn1’, который применяется в openssl и X.509. Также может быть установлено значение ‘jws’, которое используется для подписей JWT; при этом кодировка подписи будет url-safe base64 вместо стандартной base64-кодировки. В настоящее время действует только для типов ключей ECDSA P-256” |
prehashed |
boolean | нет | Устанавливается в ‘true’, если входные данные уже хэшированы. Если тип ключа ‘rsa-2048’, ‘rsa-3072’ или ‘rsa-4096’, то алгоритм, используемый для хеширования входных данных, должен быть указан параметром ‘algorithm’ |
salt_length |
string (default: auto) | нет | Длина соли, используемой для подписи. В настоящее время применяется только для схемы подписи RSA PSS. Варианты: ‘auto’ (по умолчанию используется в Golang, заставляя соль быть как можно больше при подписи), ‘hash’ (заставляет длину соли равняться длине хэша, используемого в подписи) или целое число между минимальной и максимальной допустимой длиной соли для данного размера ключа RSA. По умолчанию установлено значение ‘auto’ |
signature_algorithm |
string | нет | Алгоритм подписи, который будет использоваться для подписания. В настоящее время применяется только для ключей типа RSA. Варианты: ‘pss’ или ‘pkcs1v15’. По умолчанию используется ‘pss’ |
urlalgorithm |
string | нет | Используемый алгоритм хэширования (параметр POST URL) |
Ответы
200: OK.
POST /{transit_mount_path}/sign/{name}/{urlalgorithm}
ID операции: transit-sign-with-algorithm.
Создание подписи для входных данных с использованием именованного ключа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Ключ к использованию |
urlalgorithm |
string | path | да | Используемый алгоритм хэширования (параметр POST URL) |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Утрачено: вместо этого используйте “hash_algorithm” |
batch_input |
array | нет | Определяет список элементов для обработки. Если этот параметр задан, любые предоставленные параметры ‘input’ или ‘context’ будут проигнорированы. Ответы возвращаются в массиве ‘batch_results’ в элементе ‘data’ ответа. Любой пакетный вывод будет сохранять порядок пакетного ввода |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена; в настоящее время доступен только для ключей ed25519 |
hash_algorithm |
string (default: sha2-256) | нет | Используемый алгоритм хэширования (параметр тела POST). Допустимые значения: “sha1”, “sha2-224”, “sha2-256”, “sha2-384”, “sha2-512”, “sha3-224”, “sha3-256”, “sha3-384”, “sha3-512”, none По умолчанию установлено значение “sha2-256”. Не подходит для всех типов ключей, включая ed25519. Использование none требует установки prehashed=true и signature_algorithm=pkcs1v15, что дает PKCSv1_5_NoOID вместо обычной подписи PKCSv1_5_DERnull |
input |
string | нет | Входные данные в кодировке base64 |
key_version |
integer | нет | Версия ключа, которую следует использовать для подписи. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа |
marshaling_algorithm |
string (default: asn1) | нет | Метод, с помощью которого будет сортироваться подпись. По умолчанию используется ‘asn1’, который применяется в openssl и X.509. Также может быть установлено значение ‘jws’, которое используется для подписей JWT; при этом кодировка подписи будет url-safe base64 вместо стандартной base64-кодировки. В настоящее время действует только для типов ключей ECDSA P-256” |
prehashed |
boolean | нет | Устанавливается в ‘true’, если входные данные уже хэшированы. Если тип ключа ‘rsa-2048’, ‘rsa-3072’ или ‘rsa-4096’, то алгоритм, используемый для хеширования входных данных, должен быть указан параметром ‘algorithm’ |
salt_length |
string (default: auto) | нет | Длина соли, используемой для подписи. В настоящее время применяется только для схемы подписи RSA PSS. Варианты: ‘auto’ (по умолчанию используется в Golang, заставляя соль быть как можно больше при подписи), ‘hash’ (заставляет длину соли равняться длине хэша, используемого в подписи) или целое число между минимальной и максимальной допустимой длиной соли для данного размера ключа RSA. По умолчанию установлено значение ‘auto’ |
signature_algorithm |
string | нет | Алгоритм подписи, который будет использоваться для подписания. В настоящее время применяется только для ключей типа RSA. Варианты: ‘pss’ или ‘pkcs1v15’. По умолчанию используется ‘pss’ |
Ответы
200: OK.
POST /{transit_mount_path}/verify/{name}
ID операции: transit-verify.
Проверить подпись или HMAC для входных данных, созданных с использованием именованного ключа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Ключ к использованию |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Утрачено: вместо этого используйте “hash_algorithm” |
batch_input |
array | нет | Определяет список элементов для обработки. Когда этот параметр задан, все предоставленные параметры ‘input’, ‘hmac’ или ‘signature’ будут проигнорированы. Ответы возвращаются в массиве ‘batch_results’ в элементе ‘data’ ответа. Любой пакетный вывод будет сохранять порядок пакетного ввода |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена; в настоящее время доступен только для ключей ed25519 |
hash_algorithm |
string (default: sha2-256) | нет | Используемый алгоритм хэширования (параметр тела POST). Допустимые значения: “sha1”, “sha2-224”, “sha2-256”, “sha2-384”, “sha2-512”, “sha3-224”, “sha3-256”, “sha3-384”, “sha3-512”, none. По умолчанию установлено значение “sha2-256”. Действует не для всех типов ключей. См. примечание о none в пути подписи |
hmac |
string | нет | HMAC, включая версию заголовка/ключа хранилища |
input |
string | нет | Входные данные в кодировке base64 для проверки |
marshaling_algorithm |
string (default: asn1) | нет | Метод, с помощью которого следует размаривать подпись при проверке. По умолчанию используется ‘asn1’, который используется openssl и X.509; также может быть установлено значение ‘jws’, которое используется для подписей JWT, в этом случае подпись также должна быть в url-safe base64-кодировке вместо стандартной base64-кодировки. В настоящее время действует только для типов ключей ECDSA P-256” |
prehashed |
boolean | нет | Устанавливается в ‘true’, если входные данные уже хэшированы. Если тип ключа ‘rsa-2048’, ‘rsa-3072’ или ‘rsa-4096’, то алгоритм, используемый для хеширования входных данных, должен быть указан параметром ‘algorithm’ |
salt_length |
string (default: auto) | нет | Длина соли, используемой для подписи. В настоящее время применяется только для схемы подписи RSA PSS. Варианты: ‘auto’ (по умолчанию используется в Golang, заставляя соль быть как можно больше при подписи), ‘hash’ (заставляет длину соли равняться длине хэша, используемого в подписи) или целое число между минимальной и максимальной допустимой длиной соли для данного размера ключа RSA. По умолчанию установлено значение ‘auto’ |
signature |
string | нет | Подпись, включая версию заголовка/ключа хранилища |
signature_algorithm |
string | нет | Алгоритм подписи, используемый для проверки подписи. В настоящее время применяется только для ключей типа RSA. Варианты: ‘pss’ или ‘pkcs1v15’. По умолчанию используется ‘pss’ |
urlalgorithm |
string | нет | Используемый алгоритм хэширования (параметр POST URL) |
Ответы
200: OK.
POST /{transit_mount_path}/verify/{name}/{urlalgorithm}
ID операции: transit-verify-with-algorithm.
Проверить подпись или HMAC для входных данных, созданных с использованием именованного ключа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Ключ к использованию |
urlalgorithm |
string | path | да | Используемый алгоритм хэширования (параметр POST URL) |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Утрачено: вместо этого используйте “hash_algorithm” |
batch_input |
array | нет | Определяет список элементов для обработки. Когда этот параметр задан, все предоставленные параметры ‘input’, ‘hmac’ или ‘signature’ будут проигнорированы. Ответы возвращаются в массиве ‘batch_results’ в элементе ‘data’ ответа. Любой пакетный вывод будет сохранять порядок пакетного ввода |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена; в настоящее время доступен только для ключей ed25519 |
hash_algorithm |
string (default: sha2-256) | нет | Используемый алгоритм хэширования (параметр тела POST). Допустимые значения: “sha1”, “sha2-224”, “sha2-256”, “sha2-384”, “sha2-512”, “sha3-224”, “sha3-256”, “sha3-384”, “sha3-512”, none. По умолчанию установлено значение “sha2-256”. Действует не для всех типов ключей. См. примечание о none в пути подписи |
hmac |
string | нет | HMAC, включая версию заголовка/ключа хранилища |
input |
string | нет | Входные данные в кодировке base64 для проверки |
marshaling_algorithm |
string (default: asn1) | нет | Метод, с помощью которого следует размаривать подпись при проверке. По умолчанию используется ‘asn1’, который используется openssl и X.509; также может быть установлено значение ‘jws’, которое используется для подписей JWT, в этом случае подпись также должна быть в url-safe base64-кодировке вместо стандартной base64-кодировки. В настоящее время действует только для типов ключей ECDSA P-256” |
prehashed |
boolean | нет | Устанавливается в ‘true’, если входные данные уже хэшированы. Если тип ключа ‘rsa-2048’, ‘rsa-3072’ или ‘rsa-4096’, то алгоритм, используемый для хеширования входных данных, должен быть указан параметром ‘algorithm’ |
salt_length |
string (default: auto) | нет | Длина соли, используемой для подписи. В настоящее время применяется только для схемы подписи RSA PSS. Варианты: ‘auto’ (по умолчанию используется в Golang, заставляя соль быть как можно больше при подписи), ‘hash’ (заставляет длину соли равняться длине хэша, используемого в подписи) или целое число между минимальной и максимальной допустимой длиной соли для данного размера ключа RSA. По умолчанию установлено значение ‘auto’ |
signature |
string | нет | Подпись, включая версию заголовка/ключа хранилища |
signature_algorithm |
string | нет | Алгоритм подписи, используемый для проверки подписи. В настоящее время применяется только для ключей типа RSA. Варианты: ‘pss’ или ‘pkcs1v15’. По умолчанию используется ‘pss’ |
Ответы
200: OK.
GET /{transit_mount_path}/wrapping_key
ID операции: transit-read-wrapping-key.
Возвращает открытый ключ, используемый для обертывания импортированных ключей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкенд |
Ответы
200: OK.
system
GET /sys/audit
ID операции: auditing-list-enabled-devices.
Отображает включенные устройства аудита.
Требует sudo: да.
Ответы
200: OK.
POST /sys/audit-hash/{path}
ID операции: auditing-calculate-hash.
Хеш заданной строки через заданный бэкенд аудита.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Имя бэкенда. Не может быть разделено. Пример: “mysql” |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
input |
string | нет |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
hash |
string | нет |
POST /sys/audit/{path}
ID операции: auditing-enable-device.
Включите новое устройство аудита по указанному пути.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Имя бэкенда. Не может быть разделено. Пример: “mysql” |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
description |
string | нет | Удобное описание бэкенда аудита |
local |
boolean (default: False) | нет | Пометьте монтирование как локальное монтирование, которое не реплицируется и не подвержено влиянию репликации |
options |
object | нет | Параметры конфигурации для бэкенда аудита |
type |
string | нет | Тип бэкенда. Пример: “mysql” |
Ответы
204: OK.
DELETE /sys/audit/{path}
ID операции: auditing-disable-device.
Отключите устройство аудита по указанному пути.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Имя бэкенда. Не может быть разделено. Пример: “mysql” |
Ответы
204: OK.
GET /sys/auth
ID операции: auth-list-enabled-methods.
Список включенных на данный момент бэкендов учетных данных.
Ответы
200: OK.
GET /sys/auth/{path}
ID операции: auth-read-configuration.
Чтение конфигурации механизма аутентификации по указанному пути.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Не может быть разграничен. Пример: “user” |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor |
string | нет | |
config |
object | нет | |
deprecation_status |
string | нет | |
description |
string | нет | |
external_entropy_access |
boolean | нет | |
local |
boolean | нет | |
options |
object | нет | |
plugin_version |
string | нет | |
running_plugin_version |
string | нет | |
running_sha256 |
string | нет | |
seal_wrap |
boolean | нет | |
type |
string | нет | |
uuid |
string | нет |
POST /sys/auth/{path}
ID операции: auth-enable-method.
Включает новый метод авторизации.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Не может быть разграничен. Пример: “user” |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
config |
object | нет | Конфигурация для этого монтирования, например, имя_плагина |
description |
string | нет | Удобное описание для данного бэкенда учетных данных |
external_entropy_access |
boolean (default: False) | нет | Предоставлять ли маунту доступ к внешней энтропии Stronghold |
local |
boolean (default: False) | нет | Пометьте монтирование как локальное монтирование, которое не реплицируется и не подвержено влиянию репликации |
options |
object | нет | Параметры для передачи в бэкенд. Это должен быть json-объект со строковыми ключами и значениями |
plugin_name |
string | нет | Имя используемого плагина аутентификации, основанное на имени в каталоге плагинов |
plugin_version |
string | нет | Семантическая версия плагина для использования |
seal_wrap |
boolean (default: False) | нет | Включать ли обертку уплотнения для крепления |
type |
string | нет | Тип бэкенда. Пример: “userpass” |
Ответы
204: OK.
DELETE /sys/auth/{path}
ID операции: auth-disable-method.
Отключение метода аутентификации по заданному пути аутентификации.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Не может быть разграничен. Пример: “user” |
Ответы
204: OK.
GET /sys/auth/{path}/tune
ID операции: auth-read-tuning-information.
Считывает конфигурацию заданного пути аутентификации.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Настраивает параметры конфигурации для пути аутентификации |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_managed_keys |
array | нет | |
allowed_response_headers |
array | нет | |
audit_non_hmac_request_keys |
array | нет | |
audit_non_hmac_response_keys |
array | нет | |
default_lease_ttl |
integer | нет | |
description |
string | нет | |
external_entropy_access |
boolean | нет | |
force_no_cache |
boolean | нет | |
listing_visibility |
string | нет | |
max_lease_ttl |
integer | нет | |
options |
object | нет | |
passthrough_request_headers |
array | нет | |
plugin_version |
string | нет | |
token_type |
string | нет | |
user_lockout_counter_reset_duration |
integer | нет | |
user_lockout_disable |
boolean | нет | |
user_lockout_duration |
integer | нет | |
user_lockout_threshold |
integer | нет |
POST /sys/auth/{path}/tune
ID операции: auth-tune-configuration-parameters.
Настройка параметров конфигурации для данного пути аутентификации.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Настраивает параметры конфигурации для пути аутентификации |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_response_headers |
array | нет | Список заголовков, которые необходимо внести в белый список и разрешить плагину устанавливать их в ответах |
audit_non_hmac_request_keys |
array | нет | Список ключей в объекте данных запроса, которые не будут обрабатываться HMAC устройствами аудита |
audit_non_hmac_response_keys |
array | нет | Список ключей в объекте данных ответа, которые не будут обрабатываться HMAC устройствами аудита |
default_lease_ttl |
string | нет | TTL аренды по умолчанию для этого монтирования |
description |
string | нет | Удобное описание для данного бэкенда учетных данных |
listing_visibility |
string | нет | Определяет видимость монтирования в конечной точке листинга, специфичной для пользовательского интерфейса. Принимаются значения ‘unauth’ и ‘hidden’, при этом пустое значение по умолчанию (‘’) ведет себя как ‘hidden’ |
max_lease_ttl |
string | нет | Максимальное значение TTL аренды для данного крепления |
options |
object | нет | Параметры для передачи в бэкенд. Это должен быть json-объект со строковыми ключами и значениями |
passthrough_request_headers |
array | нет | Список заголовков, которые необходимо включить в белый список и передать из запроса в плагин |
plugin_version |
string | нет | Семантическая версия плагина для использования |
token_type |
string | нет | Тип выпускаемого токена (сервисный или пакетный) |
user_lockout_config |
object | нет | Конфигурация блокировки пользователя для передачи в бэкенд. Это должен быть json-объект со строковыми ключами и значениями |
Ответы
204: OK.
POST /sys/capabilities
ID операции: query-token-capabilities.
Получает возможности заданного токена по заданному пути.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
path |
array | нет | ⚠️ Устарело. Вместо этого используйте ‘paths’ |
paths |
array | нет | Пути, по которым запрашиваются возможности |
token |
string | нет | Токен, для которого запрашиваются возможности |
Ответы
200: OK.
POST /sys/capabilities-accessor
ID операции: query-token-accessor-capabilities.
Получает возможности токена, связанного с данным токеном, по указанному пути.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor |
string | нет | Аксессор токена, для которого запрашиваются возможности |
path |
array | нет | ⚠️ Устарело. Вместо этого используйте ‘paths’ |
paths |
array | нет | Пути, по которым запрашиваются возможности |
Ответы
200: OK.
POST /sys/capabilities-self
ID операции: query-token-self-capabilities.
Получает возможности заданного токена по заданному пути.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
path |
array | нет | ⚠️ Устарело. Вместо этого используйте ‘paths’ |
paths |
array | нет | Пути, по которым запрашиваются возможности |
token |
string | нет | Токен, для которого запрашиваются возможности |
Ответы
200: OK.
GET /sys/config/auditing/request-headers
ID операции: auditing-list-request-headers.
Отображает заголовки запросов, которые настроены на аудит.
Требует sudo: да.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
headers |
object | нет |
GET /sys/config/auditing/request-headers/{header}
ID операции: auditing-read-request-header-information.
Отображает информацию для данного заголовка запроса.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
header |
string | path | да |
Ответы
200: OK.
POST /sys/config/auditing/request-headers/{header}
ID операции: auditing-enable-request-header.
Включите аудит заголовка.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
header |
string | path | да |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
hmac |
boolean | нет |
Ответы
204: OK.
DELETE /sys/config/auditing/request-headers/{header}
ID операции: auditing-disable-request-header.
Отключает аудит данного заголовка запроса.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
header |
string | path | да |
Ответы
204: OK.
GET /sys/config/control-group
ID операции: enterprise-stub-read-config-control-group.
Ответы
200: OK.
POST /sys/config/control-group
ID операции: enterprise-stub-write-config-control-group.
Ответы
200: OK.
DELETE /sys/config/control-group
ID операции: enterprise-stub-delete-config-control-group.
Ответы
204: пустое тело.
GET /sys/config/cors
ID операции: cors-read-configuration.
Возвращает текущие настройки CORS.
Требует sudo: да.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_headers |
array | нет | |
allowed_origins |
array | нет | |
enabled |
boolean | нет |
POST /sys/config/cors
ID операции: cors-configure.
Настроить параметры CORS.
Требует sudo: да.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_headers |
array | нет | Строка или массив строк, разделенных запятыми, указывающие на заголовки, которые разрешены для кросс-оригинальных запросов |
allowed_origins |
array | нет | Строка или массив строк, разделенных запятыми, указывающие на источники, которые могут выполнять кросс-оригинальные запросы |
enable |
boolean | нет | Включает или отключает заголовки CORS в запросах |
Ответы
204: OK.
DELETE /sys/config/cors
ID операции: cors-delete-configuration.
Удаляет любые настройки CORS.
Требует sudo: да.
Ответы
204: OK.
GET /sys/config/group-policy-application
ID операции: enterprise-stub-read-config-group-policy-application.
Ответы
200: OK.
POST /sys/config/group-policy-application
ID операции: enterprise-stub-write-config-group-policy-application.
Ответы
200: OK.
POST /sys/config/reload/{subsystem}
ID операции: reload-subsystem.
Перезагрузить заданную подсистему.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
subsystem |
string | path | да |
Ответы
204: OK.
GET /sys/config/state/sanitized
ID операции: read-sanitized-configuration-state.
Возвращает санированную версию конфигурации сервера Stronghold.
Ответы
200: OK.
GET /sys/config/ui/headers
ID операции: ui-headers-list.
Возврат списка настроенных заголовков UI.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | Списки настроенных заголовков UI Пропущено, если список пуст |
GET /sys/config/ui/headers/{header}
ID операции: ui-headers-read-configuration.
Возвращает конфигурацию данного заголовка UI.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
header |
string | path | да | Имя заголовка |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
value |
string | нет | возвращает первое значение заголовка, когда параметр запроса multivalue равен false |
values |
array | нет | возвращает все значения заголовков, когда параметр запроса multivalue равен true |
POST /sys/config/ui/headers/{header}
ID операции: ui-headers-configure.
Настроить значения, чтобы вернуть для заголовка UI.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
header |
string | path | да | Имя заголовка |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
multivalue |
boolean | нет | Возвращает несколько значений, если true |
values |
array | нет | Значения для установки заголовка |
Ответы
200: OK.
DELETE /sys/config/ui/headers/{header}
ID операции: ui-headers-delete-configuration.
Удаляет заголовок UI.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
header |
string | path | да | Имя заголовка |
Ответы
204: OK.
POST /sys/control-group/authorize
ID операции: enterprise-stub-write-control-group-authorize.
Ответы
200: OK.
POST /sys/control-group/request
ID операции: enterprise-stub-write-control-group-request.
Ответы
200: OK.
POST /sys/decode-token
ID операции: decode.
Декодирует закодированный токен с помощью otp.
Доступен без аутентификации: да.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
encoded_token |
string | нет | Указывает закодированный токен (результат работы generate-root) |
otp |
string | нет | Указывает код otp для декодирования |
Ответы
200: OK.
GET /sys/experiments
ID операции: list-experimental-features.
Возвращает доступные и включенные эксперименты.
Ответы
200: OK.
GET /sys/generate-root
ID операции: root-token-generation-read-progress2.
Считывание информации о конфигурации и ходе выполнения текущей попытки генерации корня.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
complete |
boolean | нет | |
encoded_root_token |
string | нет | |
encoded_token |
string | нет | |
nonce |
string | нет | |
otp |
string | нет | |
otp_length |
integer | нет | |
pgp_fingerprint |
string | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
boolean | нет |
POST /sys/generate-root
ID операции: root-token-generation-initialize-2.
Инициализирует новую попытку генерации корня.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pgp_key |
string | нет | Указывает открытый ключ PGP в кодировке base64 |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
complete |
boolean | нет | |
encoded_root_token |
string | нет | |
encoded_token |
string | нет | |
nonce |
string | нет | |
otp |
string | нет | |
otp_length |
integer | нет | |
pgp_fingerprint |
string | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
boolean | нет |
DELETE /sys/generate-root
ID операции: root-token-generation-cancel-2.
Отменяет все текущие попытки генерации корня.
Ответы
204: OK.
GET /sys/generate-root/attempt
ID операции: root-token-generation-read-progress.
Считывание информации о конфигурации и ходе выполнения текущей попытки генерации корня.
Доступен без аутентификации: да.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
complete |
boolean | нет | |
encoded_root_token |
string | нет | |
encoded_token |
string | нет | |
nonce |
string | нет | |
otp |
string | нет | |
otp_length |
integer | нет | |
pgp_fingerprint |
string | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
boolean | нет |
POST /sys/generate-root/attempt
ID операции: root-token-generation-initialize.
Инициализирует новую попытку генерации корня.
Доступен без аутентификации: да.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pgp_key |
string | нет | Указывает открытый ключ PGP в кодировке base64 |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
complete |
boolean | нет | |
encoded_root_token |
string | нет | |
encoded_token |
string | нет | |
nonce |
string | нет | |
otp |
string | нет | |
otp_length |
integer | нет | |
pgp_fingerprint |
string | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
boolean | нет |
DELETE /sys/generate-root/attempt
ID операции: root-token-generation-cancel.
Отменяет все текущие попытки генерации корня.
Доступен без аутентификации: да.
Ответы
204: OK.
POST /sys/generate-root/update
ID операции: root-token-generation-update.
Введите единственную долю ключа unseal, чтобы продолжить попытку генерации корня.
Доступен без аутентификации: да.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key |
string | нет | Указывает единственный ресурс ключей для разблокировки |
nonce |
string | нет | Указывает nonce попытки |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
complete |
boolean | нет | |
encoded_root_token |
string | нет | |
encoded_token |
string | нет | |
nonce |
string | нет | |
otp |
string | нет | |
otp_length |
integer | нет | |
pgp_fingerprint |
string | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
boolean | нет |
GET /sys/ha-status
ID операции: ha-status.
Проверить статус HA кластера Stronghold.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
nodes |
array | нет |
GET /sys/health
ID операции: read-health-status.
Возвращает статус работоспособности Stronghold.
Доступен без аутентификации: да.
Ответы
200: инициализирован, разблокирован и активен.
429: без печати и в режиме ожидания.
472: режим восстановления данных репликация вторичная и активная.
501: не инициализирован.
503: герметичный.
GET /sys/host-info
ID операции: collect-host-information.
Информация о хост-экземпляре, на котором работает этот сервер Stronghold.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cpu |
array | нет | |
cpu_times |
array | нет | |
disk |
array | нет | |
host |
object | нет | |
memory |
object | нет | |
timestamp |
string | нет |
GET /sys/in-flight-req
ID операции: collect-in-flight-request-information.
отчеты о активных запросах.
Ответы
200: OK.
GET /sys/init
ID операции: read-initialization-status.
Возвращает статус инициализации Stronghold.
Доступен без аутентификации: да.
Ответы
200: OK.
POST /sys/init
ID операции: initialize.
Инициализировать новый Stronghold.
Доступен без аутентификации: да.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pgp_keys |
array | нет | Указывает массив открытых ключей PGP, используемых для шифрования выходных ключей разблокировки Порядок следования сохраняется Ключи должны быть закодированы в base64 из их исходного двоичного представления Размер этого массива должен быть равен secret_shares |
recovery_pgp_keys |
array | нет | Указывает массив открытых ключей PGP, используемых для шифрования выходных ключей восстановления Порядок следования сохраняется Ключи должны быть закодированы в base64 из их исходного двоичного представления Размер этого массива должен быть равен recovery_shares |
recovery_shares |
integer | нет | Укажите количество долей, на которые нужно разделить ключ восстановления |
recovery_threshold |
integer | нет | Указывает количество долей, необходимых для восстановления ключа восстановления Оно должно быть меньше или равно recovery_shares |
root_token_pgp_key |
string | нет | Указывает открытый ключ PGP, используемый для шифрования начального корневого токена Ключ должен быть закодирован в base64 из его исходного двоичного представления |
secret_shares |
integer | нет | Указывает количество долей, на которые нужно разделить ключ разблокировки |
secret_threshold |
integer | нет | Указывает количество долей, необходимых для восстановления ключа unseal Это значение должно быть меньше или равно secret_shares При использовании Stronghold HSM с автоматической разблокировкой это значение должно быть равно secret_shares |
stored_shares |
integer | нет | Указывает количество долей, которые должны быть зашифрованы HSM и сохранены для автоматического раскрытия В настоящее время должно быть таким же, как secret_shares |
Ответы
200: OK.
GET /sys/internal/counters/activity
ID операции: internal-client-activity-report-counts.
Сообщает метрики количества клиентов для данного пространства имен и всех дочерних пространств имен.
Ответы
200: OK.
GET /sys/internal/counters/activity/export
ID операции: internal-client-activity-export.
Сообщает метрики количества клиентов для данного пространства имен и всех дочерних пространств имен.
Ответы
200: OK.
GET /sys/internal/counters/activity/monthly
ID операции: internal-client-activity-report-counts-this-month.
Сообщает о количестве клиентов за этот месяц для данного пространства имен и всех дочерних пространств имен.
Ответы
200: OK.
GET /sys/internal/counters/config
ID операции: internal-client-activity-read-configuration.
Считывание конфигурации отслеживания количества клиентов.
Ответы
200: OK.
POST /sys/internal/counters/config
ID операции: internal-client-activity-configure.
Включите или отключите сбор данных о количестве клиентов, установите период хранения или задайте период отчетности по умолчанию.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default_report_months |
integer (default: 12) | нет | Количество месяцев для отчета, если не указана дата начала |
enabled |
string (default: default) | нет | Включить или отключить сбор данных о количестве клиентов: включить, отключить или по умолчанию |
retention_months |
integer (default: 24) | нет | Количество месяцев, в течение которых будут сохраняться данные о клиенте Если установить значение 0, все существующие данные будут удалены |
Ответы
200: OK.
GET /sys/internal/counters/entities
ID операции: internal-count-entities.
Обратная совместимость для этого API не гарантирована.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
counters |
object | нет |
GET /sys/internal/counters/requests
ID операции: internal-count-requests.
Обратная совместимость для этого API не гарантирована.
Ответы
200: OK.
GET /sys/internal/counters/tokens
ID операции: internal-count-tokens.
Обратная совместимость для этого API не гарантирована.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
counters |
object | нет |
GET /sys/internal/inspect/router/{tag}
ID операции: internal-inspect-router.
Раскрыть таблицы маршрутных записей и записей монтирования, имеющиеся в маршрутизаторе.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
tag |
string | path | да | Имя наблюдаемого поддерева |
Ответы
200: OK.
GET /sys/internal/specs/openapi
ID операции: internal-generate-open-api-document.
Создайте документ OpenAPI 3 для всех смонтированных путей.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
generic_mount_paths |
boolean | query | нет | Используйте общие пути монтирования |
Ответы
200: OK.
POST /sys/internal/specs/openapi
ID операции: internal-generate-open-api-document-with-parameters.
Создайте документ OpenAPI 3 для всех смонтированных путей.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
generic_mount_paths |
boolean | query | нет | Используйте общие пути монтирования |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
context |
string | нет | Контекстная строка, добавляемая к каждой операцииId |
Ответы
200: OK.
GET /sys/internal/ui/feature-flags
ID операции: internal-ui-list-enabled-feature-flags.
Список включенных флагов функций.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
feature_flags |
array | нет |
GET /sys/internal/ui/mounts
ID операции: internal-ui-list-enabled-visible-mounts.
Отображает все включенные и видимые монтирования auth и secrets.
Доступен без аутентификации: да.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
auth |
object | нет | точки монтирования аутентификации |
secret |
object | нет | точки монтирования секретов |
GET /sys/internal/ui/mounts/{path}
ID операции: internal-ui-read-mount-information.
Возвращает информацию о заданном креплении.
Доступен без аутентификации: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь к монтировке |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor |
string | нет | |
config |
object | нет | |
description |
string | нет | |
external_entropy_access |
boolean | нет | |
local |
boolean | нет | |
options |
object | нет | |
path |
string | нет | |
plugin_version |
string | нет | |
running_plugin_version |
string | нет | |
running_sha256 |
string | нет | |
seal_wrap |
boolean | нет | |
type |
string | нет | |
uuid |
string | нет |
GET /sys/internal/ui/namespaces
ID операции: internal-ui-list-namespaces.
Обратная совместимость для этого API не гарантирована.
Доступен без аутентификации: да.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | поле возвращается, только если есть одно или несколько пространств имен |
GET /sys/internal/ui/resultant-acl
ID операции: internal-ui-read-resultant-acl.
Обратная совместимость для этого API не гарантирована.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
exact_paths |
object | нет | |
glob_paths |
object | нет | |
root |
boolean | нет |
204: возвращается пустой ответ, если нет токена клиента.
GET /sys/key-status
ID операции: encryption-key-status.
Предоставляет информацию о ключе шифрования бэкенда.
Ответы
200: OK.
GET /sys/leader
ID операции: leader-status.
Возвращает статус высокой доступности и текущий ведущий экземпляр Stronghold.
Доступен без аутентификации: да.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
active_time |
string | нет | |
ha_enabled |
boolean | нет | |
is_self |
boolean | нет | |
last_wal |
integer | нет | |
leader_address |
string | нет | |
leader_cluster_address |
string | нет | |
performance_standby |
boolean | нет | |
performance_standby_last_remote_wal |
integer | нет | |
raft_applied_index |
integer | нет | |
raft_committed_index |
integer | нет |
GET /sys/leases
ID операции: leases-list.
Список аренды, связанной с данным кластером Stronghold.
Требует sudo: да.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
counts |
integer | нет | Количество совпадающих аренд на точку монтажа |
lease_count |
integer | нет | Количество совпадающих аренд |
GET /sys/leases/count
ID операции: leases-count.
Количество аренды, связанной с данным кластером Stronghold.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
counts |
integer | нет | Количество совпадающих аренд на точку монтажа |
lease_count |
integer | нет | Количество совпадающих аренд |
POST /sys/leases/lookup
ID операции: leases-read-lease.
Просмотр или список метаданных аренды.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
expire_time |
string | нет | Необязательное время истечения срока аренды |
id |
string | нет | Идентификатор аренды |
issue_time |
string | нет | Временная метка для времени выдачи аренды |
last_renewal |
string | нет | Необязательная временная метка последнего раза, когда аренда была обновлена |
renewable |
boolean | нет | Истина, если аренда может быть продлена |
ttl |
integer | нет | Время жизни, установленное для аренды, возвращает 0, если не установлено |
GET /sys/leases/lookup/
ID операции: leases-look-up.
Просмотр или список метаданных аренды.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | Список идентификаторов аренды |
GET /sys/leases/lookup/{prefix}
ID операции: leases-look-up-with-prefix.
Просмотр или список метаданных аренды.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
prefix |
string | path | да | Путь к списку аренд. Пример: “aws/creds/deploy” |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | Список идентификаторов аренды |
POST /sys/leases/renew
ID операции: leases-renew-lease.
Продление договора аренды, запрос на продление договора аренды.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
increment |
integer | нет | Желаемый прирост в секундах к сроку аренды |
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды |
url_lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды |
Ответы
204: OK
POST /sys/leases/renew/{url_lease_id}
ID операции: leases-renew-lease-with-id.
Продление договора аренды, запрос на продление договора аренды.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
url_lease_id |
string | path | да | Идентификатор аренды для продления. Он включается в договор аренды |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
increment |
integer | нет | Желаемый прирост в секундах к сроку аренды |
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды |
Ответы
204: OK
POST /sys/leases/revoke
ID операции: leases-revoke-lease.
Немедленно аннулирует договор аренды.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды |
sync |
boolean (default: True) | нет | Выполнять или не выполнять отзыв синхронно |
url_lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды |
Ответы
204: OK
POST /sys/leases/revoke-force/{prefix}
ID операции: leases-force-revoke-lease-with-prefix.
Немедленно отзывает все секреты или токены, созданные под данным префиксом.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
prefix |
string | path | да | Путь для отзыва ключей. Пример: “prod/aws/ops” |
Ответы
204: OK
POST /sys/leases/revoke-prefix/{prefix}
ID операции: leases-revoke-lease-with-prefix.
Немедленно отменяет все секреты (через префикс идентификатора аренды) или токены (через свойство пути токенов), созданные под данным префиксом.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
prefix |
string | path | да | Путь для отзыва ключей. Пример: “prod/aws/ops” |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
sync |
boolean (default: True) | нет | Выполнять или не выполнять отзыв синхронно |
Ответы
204: OK
POST /sys/leases/revoke/{url_lease_id}
ID операции: leases-revoke-lease-with-id.
Немедленно аннулирует договор аренды.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
url_lease_id |
string | path | да | Идентификатор аренды для продления. Он включается в договор аренды |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды |
sync |
boolean (default: True) | нет | Выполнять или не выполнять отзыв синхронно |
Ответы
204: OK
POST /sys/leases/tidy
ID операции: leases-tidy.
Этот метод выполняет задачи по очистке, которые могут быть запущены, если возникли определенные условия ошибки.
Ответы
204: OK
GET /sys/locked-users
ID операции: locked-users-list.
Сообщает метрики количества заблокированных пользователей для данного пространства имен и всех дочерних пространств имен.
Ответы
200: OK.
POST /sys/locked-users/{mount_accessor}/unlock/{alias_identifier}
ID операции: locked-users-unlock.
Разблокирует пользователя с заданными mount_accessor и alias_identifier.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
alias_identifier |
string | path | да | Это имя алиаса (пользователя). Например, если алиасы принадлежит бэкенду userpass, имя должно быть действительным именем пользователя в методе userpass auth. Если алиасы принадлежит методу аутентификации approle, имя должно быть действительным RoleID |
mount_accessor |
string | path | да | MountAccessor - идентификатор записи монтирования, к которой принадлежит пользователь |
Ответы
200: OK.
GET /sys/loggers
ID операции: loggers-read-verbosity-level.
Считайте уровень журнала для всех существующих регистраторов.
Ответы
200: OK.
POST /sys/loggers
ID операции: loggers-update-verbosity-level.
Измените уровень журнала для всех существующих регистраторов.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
level |
string | нет | Уровень подробности журнала. Поддерживаемые значения (в порядке возрастания подробности): “trace”, “debug”, “info”, “warn” и “error” |
Ответы
204: OK
DELETE /sys/loggers
ID операции: loggers-revert-verbosity-level.
Верните все регистраторы к использованию уровня журнала, указанного в конфигурации.
Ответы
204: OK
GET /sys/loggers/{name}
ID операции: loggers-read-verbosity-level-for.
Считывание уровня журнала для одного регистратора.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя регистратора, который необходимо изменить |
Ответы
200: OK.
POST /sys/loggers/{name}
ID операции: loggers-update-verbosity-level-for.
Изменение уровня журнала для одного регистратора.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя регистратора, который необходимо изменить |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
level |
string | нет | Уровень подробности журнала. Поддерживаемые значения (в порядке возрастания подробности): “trace”, “debug”, “info”, “warn” и “error” |
Ответы
204: OK.
DELETE /sys/loggers/{name}
ID операции: loggers-revert-verbosity-level-for.
Переключите один регистратор на использование уровня журнала, указанного в конфигурации.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя регистратора, который необходимо изменить |
Ответы
204: OK.
GET /sys/managed-keys/{type}
ID операции: enterprise-stub-list-managed-keys-type.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
type |
string | path | да | |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /sys/managed-keys/{type}/{name}
ID операции: enterprise-stub-read-managed-keys-type-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | |
type |
string | path | да |
Ответы
200: OK.
POST /sys/managed-keys/{type}/{name}
ID операции: enterprise-stub-write-managed-keys-type-name.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | |
type |
string | path | да |
Ответы
200: OK.
DELETE /sys/managed-keys/{type}/{name}
ID операции: enterprise-stub-delete-managed-keys-type-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | |
type |
string | path | да |
Ответы
204: пустое тело.
POST /sys/managed-keys/{type}/{name}/test/sign
ID операции: enterprise-stub-write-managed-keys-type-name-test-sign.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | |
type |
string | path | да |
Ответы
200: OK.
GET /sys/metrics
ID операции: metrics.
Экспортируйте агрегированные метрики для целей телеметрии.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
format |
string | query | нет | Формат для экспорта метрик. В настоящее время принимается только “prometheus” |
Ответы
200: OK.
POST /sys/mfa/validate
ID операции: mfa-validate.
Проверяет логин для данных методов MFA. При успешной проверке возвращает ответ аутентификации, содержащий токен клиента.
Доступен без аутентификации: да.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
mfa_payload |
object | да | Карта из идентификатора метода MFA в фрагмент пасскодов или пустой фрагмент, если метод не использует пасскоды |
mfa_request_id |
string | да | Идентификатор для данного запроса MFA |
Ответы
200: OK.
GET /sys/monitor
ID операции: monitor.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
log_format |
string | query | нет | Формат вывода журналов. Поддерживаются следующие значения: “standard” и “json”. По умолчанию используется “стандартный” |
log_level |
string | query | нет | Уровень журнала для просмотра системных журналов. В настоящее время поддерживаются следующие значения: “trace”, “debug”, “info”, “warn”, “error” |
Ответы
200: OK.
GET /sys/mounts
ID операции: mounts-list-secrets-engines.
Отображает смонтированные в данный момент бэкенды.
Ответы
200: OK.
GET /sys/mounts/{path}
ID операции: mounts-read-configuration.
Считывает конфигурацию секретного двигателя по заданному пути.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: “aws/east” |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor |
string | нет | |
config |
object | нет | Конфигурация для этого монтирования, например default_lease_ttl и max_lease_ttl |
deprecation_status |
string | нет | |
description |
string | нет | Удобное описание для этого крепления |
external_entropy_access |
boolean | нет | |
local |
boolean (default: False) | нет | Пометьте монтирование как локальное монтирование, которое не реплицируется и не подвержено влиянию репликации |
options |
object | нет | Параметры для передачи в бэкенд. Это должен быть json-объект со строковыми ключами и значениями |
plugin_version |
string | нет | Семантическая версия плагина для использования |
running_plugin_version |
string | нет | |
running_sha256 |
string | нет | |
seal_wrap |
boolean (default: False) | нет | Включать ли обертку уплотнения для крепления |
type |
string | нет | Тип бэкенда. Пример: “passthrough” |
uuid |
string | нет |
POST /sys/mounts/{path}
ID операции: mounts-enable-secrets-engine.
Включает новый движок секретов по указанному пути.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: “aws/east” |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
config |
object | нет | Конфигурация для этого монтирования, например default_lease_ttl и max_lease_ttl |
description |
string | нет | Удобное описание для этого крепления |
external_entropy_access |
boolean (default: False) | нет | Предоставлять ли маунту доступ к внешней энтропии Stronghold |
local |
boolean (default: False) | нет | Пометьте монтирование как локальное монтирование, которое не реплицируется и не подвержено влиянию репликации |
options |
object | нет | Параметры для передачи в бэкенд. Это должен быть json-объект со строковыми ключами и значениями |
plugin_name |
string | нет | Имя монтируемого плагина, основанное на имени, зарегистрированном в каталоге плагинов |
plugin_version |
string | нет | Семантическая версия плагина для использования |
seal_wrap |
boolean (default: False) | нет | Включать ли обертку уплотнения для крепления |
type |
string | нет | Тип бэкенда. Пример: “passthrough” |
Ответы
204: OK.
DELETE /sys/mounts/{path}
ID операции: mounts-disable-secrets-engine.
Отключить точку монтирования, указанную по заданному пути.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: “aws/east” |
Ответы
200: OK.
GET /sys/mounts/{path}/tune
ID операции: mounts-read-tuning-information.
Настраивает параметры конфигурации бэкенда для этого монтирования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: “aws/east” |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_managed_keys |
array | нет | |
allowed_response_headers |
array | нет | Список заголовков, которые необходимо внести в белый список и разрешить плагину устанавливать их в ответах |
audit_non_hmac_request_keys |
array | нет | |
audit_non_hmac_response_keys |
array | нет | |
default_lease_ttl |
integer | нет | TTL аренды по умолчанию для этого монтирования |
description |
string | нет | Удобное описание для данного бэкенда учетных данных |
external_entropy_access |
boolean | нет | |
force_no_cache |
boolean | нет | |
listing_visibility |
string | нет | |
max_lease_ttl |
integer | нет | Максимальное значение TTL аренды для данного крепления |
options |
object | нет | Параметры для передачи в бэкенд. Это должен быть json-объект со строковыми ключами и значениями |
passthrough_request_headers |
array | нет | |
plugin_version |
string | нет | Семантическая версия плагина для использования |
token_type |
string | нет | Тип выпускаемого токена (сервисный или пакетный) |
user_lockout_counter_reset_duration |
integer | нет | |
user_lockout_disable |
boolean | нет | |
user_lockout_duration |
integer | нет | |
user_lockout_threshold |
integer | нет |
POST /sys/mounts/{path}/tune
ID операции: mounts-tune-configuration-parameters.
Настраивает параметры конфигурации бэкенда для этого монтирования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: “aws/east” |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_managed_keys |
array | нет | |
allowed_response_headers |
array | нет | Список заголовков, которые необходимо внести в белый список и разрешить плагину устанавливать их в ответах |
audit_non_hmac_request_keys |
array | нет | Список ключей в объекте данных запроса, которые не будут обрабатываться HMAC устройствами аудита |
audit_non_hmac_response_keys |
array | нет | Список ключей в объекте данных ответа, которые не будут обрабатываться HMAC устройствами аудита |
cmd_enable_repl |
boolean | нет | Включите репликацию для этого монтирования |
default_lease_ttl |
string | нет | TTL аренды по умолчанию для этого монтирования |
description |
string | нет | Удобное описание для данного бэкенда учетных данных |
listing_visibility |
string | нет | Определяет видимость монтирования в конечной точке листинга, специфичной для пользовательского интерфейса. Принимаются значения ‘unauth’ и ‘hidden’, при этом пустое значение по умолчанию (‘’) ведет себя как ‘hidden’ |
max_lease_ttl |
string | нет | Максимальное значение TTL аренды для данного крепления |
options |
object | нет | Параметры для передачи в бэкенд. Это должен быть json-объект со строковыми ключами и значениями |
passthrough_request_headers |
array | нет | Список заголовков, которые необходимо включить в белый список и передать из запроса в плагин |
plugin_version |
string | нет | Семантическая версия плагина для использования |
src_ca_cert |
string | нет | |
src_secret_path |
array | нет | |
src_token |
string | нет | |
sync_period_min |
integer | нет | |
token_type |
string | нет | Тип выпускаемого токена (сервисный или пакетный) |
user_lockout_config |
object | нет | Конфигурация блокировки пользователя для передачи в бэкенд. Это должен быть json-объект со строковыми ключами и значениями |
Ответы
200: OK.
GET /sys/namespaces/
ID операции: namespaces-list-namespaces.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /sys/namespaces/{path}
ID операции: namespaces-read-namespace.
Чтение информации о пространстве имен.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: “aws/east” |
Ответы
200: OK.
POST /sys/namespaces/{path}
ID операции: namespaces-create-namespace.
Создание нового пространства имен по указанному пути.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: “aws/east” |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
custom_metadata |
object | нет | Предоставленные пользователем пары ключ-значение, которые используются для описания информации о секрете |
Ответы
204: OK.
DELETE /sys/namespaces/{path}
ID операции: namespaces-delete-namespace.
Удаление пространства имен, указанного по заданному пути.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: “aws/east” |
Ответы
200: OK.
GET /sys/plugins/catalog
ID операции: plugins-catalog-list-plugins.
Отображает все плагины, известные Stronghold.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
detailed |
object | нет |
GET /sys/plugins/catalog/{name}
ID операции: plugins-catalog-read-plugin-configuration.
Возвращает данные конфигурации для плагина с заданным именем.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя плагина |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
args |
array | нет | Параметры, передаваемые команде плагина |
builtin |
boolean | нет | |
command |
string | нет | Команда, используемая для запуска плагина. Исполняемый файл, заданный в этой команде, должен существовать в каталоге плагинов stronghold |
deprecation_status |
string | нет | |
name |
string | нет | Имя плагина |
sha256 |
string | нет | Сумма SHA256 исполняемого файла, используемого в поле команды. Она должна быть закодирована в HEX |
version |
string | нет | Семантическая версия плагина для использования |
POST /sys/plugins/catalog/{name}
ID операции: plugins-catalog-register-plugin.
Регистрирует новый плагин или обновляет существующий с указанным именем.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя плагина |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
args |
array | нет | Параметры, передаваемые команде плагина |
command |
string | нет | Команда, используемая для запуска плагина. Исполняемый файл, заданный в этой команде, должен существовать в каталоге плагинов stronghold |
env |
array | нет | Переменные окружения, передаваемые команде плагина. Каждая переменная имеет вид “ключ=значение” |
sha256 |
string | нет | Сумма SHA256 исполняемого файла, используемого в поле команды. Она должна быть закодирована в HEX |
type |
string | нет | Тип плагина, может быть auth, secret или database |
version |
string | нет | Семантическая версия плагина для использования |
Ответы
200: OK.
DELETE /sys/plugins/catalog/{name}
ID операции: plugins-catalog-remove-plugin.
Удаление плагина с заданным именем.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя плагина |
Ответы
200: OK.
GET /sys/plugins/catalog/{type}
ID операции: plugins-catalog-list-plugins-with-type.
Отображает плагины в каталоге.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
type |
string | path | да | Тип плагина, может быть auth, secret или database |
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | Список имен плагинов в каталоге |
GET /sys/plugins/catalog/{type}/{name}
ID операции: plugins-catalog-read-plugin-configuration-with-type.
Возвращает данные конфигурации для плагина с заданным именем.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя плагина |
type |
string | path | да | Тип плагина, может быть auth, secret или database |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
args |
array | нет | Параметры, передаваемые команде плагина |
builtin |
boolean | нет | |
command |
string | нет | Команда, используемая для запуска плагина. Исполняемый файл, заданный в этой команде, должен существовать в каталоге плагинов stronghold |
deprecation_status |
string | нет | |
name |
string | нет | Имя плагина |
sha256 |
string | нет | Сумма SHA256 исполняемого файла, используемого в поле команды. Она должна быть закодирована в HEX |
version |
string | нет | Семантическая версия плагина для использования |
POST /sys/plugins/catalog/{type}/{name}
ID операции: plugins-catalog-register-plugin-with-type.
Регистрирует новый плагин или обновляет существующий с указанным именем.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя плагина |
type |
string | path | да | Тип плагина, может быть auth, secret или database |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
args |
array | нет | Параметры, передаваемые команде плагина |
command |
string | нет | Команда, используемая для запуска плагина. Исполняемый файл, заданный в этой команде, должен существовать в каталоге плагинов stronghold |
env |
array | нет | Переменные окружения, передаваемые команде плагина. Каждая переменная имеет вид “ключ=значение” |
sha256 |
string | нет | Сумма SHA256 исполняемого файла, используемого в поле команды. Она должна быть закодирована в HEX |
version |
string | нет | Семантическая версия плагина для использования |
Ответы
200: OK.
DELETE /sys/plugins/catalog/{type}/{name}
ID операции: plugins-catalog-remove-plugin-with-type.
Удаление плагина с заданным именем.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя плагина |
type |
string | path | да | Тип плагина, может быть auth, secret или database |
Ответы
200: OK.
POST /sys/plugins/reload/backend
ID операции: plugins-reload-backends.
Перезагрузите установленные бэкенды плагинов.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
mounts |
array | нет | Пути монтирования бэкендов плагинов для перезагрузки |
plugin |
string | нет | Имя плагина для перезагрузки, зарегистрированного в каталоге плагинов |
scope |
string | нет |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
reload_id |
string | нет |
202: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
reload_id |
string | нет |
GET /sys/plugins/reload/backend/status
ID операции: enterprise-stub-read-plugins-reload-backend-status.
Ответы
200: OK.
GET /sys/policies/acl
ID операции: policies-list-acl-policies.
Отображает настроенные политики управления доступом.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | |
policies |
array | нет |
GET /sys/policies/acl/{name}
ID операции: policies-read-acl-policy.
Получите информацию о названии политики ACL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики. Пример: “ops” |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
name |
string | нет | |
policy |
string | нет | |
rules |
string | нет |
POST /sys/policies/acl/{name}
ID операции: policies-write-acl-policy.
Добавить новую или обновить существующую политику ACL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики. Пример: “ops” |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policy |
string | нет | Правила политики |
Ответы
204: OK
DELETE /sys/policies/acl/{name}
ID операции: policies-delete-acl-policy.
Удаляет политику ACL с данным именем.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики. Пример: “ops” |
Ответы
204: OK
GET /sys/policies/egp
ID операции: enterprise-stub-list-policies-egp.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /sys/policies/egp/{name}
ID операции: enterprise-stub-read-policies-egp-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
200: OK.
POST /sys/policies/egp/{name}
ID операции: enterprise-stub-write-policies-egp-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
200: OK.
DELETE /sys/policies/egp/{name}
ID операции: enterprise-stub-delete-policies-egp-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
204: пустое тело.
GET /sys/policies/password
ID операции: policies-list-password-policies.
Отображает существующие политики паролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет |
GET /sys/policies/password/{name}
ID операции: policies-read-password-policy.
Извлечение существующей политики паролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики паролей |
Ответы
204: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policy |
string | нет |
POST /sys/policies/password/{name}
ID операции: policies-write-password-policy.
Добавьте новую или обновите существующую политику паролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики паролей |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policy |
string | нет | Политика паролей |
Ответы
204: OK.
DELETE /sys/policies/password/{name}
ID операции: policies-delete-password-policy.
Удаление политики паролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики паролей |
Ответы
204: OK.
GET /sys/policies/password/{name}/generate
ID операции: policies-generate-password-from-password-policy.
Генерировать пароль из существующей политики паролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики паролей |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
password |
string | нет |
GET /sys/policies/rgp
ID операции: enterprise-stub-list-policies-rgp.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /sys/policies/rgp/{name}
ID операции: enterprise-stub-read-policies-rgp-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
200: OK.
POST /sys/policies/rgp/{name}
ID операции: enterprise-stub-write-policies-rgp-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
200: OK.
DELETE /sys/policies/rgp/{name}
ID операции: enterprise-stub-delete-policies-rgp-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
204: пустое тело.
GET /sys/policy
ID операции: policies-list.
Отображает настроенные политики управления доступом.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string | query | нет | Возвращает список, если true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | |
policies |
array | нет |
GET /sys/policy/{name}
ID операции: policies-read-acl-policy2.
Получение тела политики для названной политики.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики. Пример: “ops” |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
name |
string | нет | |
policy |
string | нет | |
rules |
string | нет |
POST /sys/policy/{name}
ID операции: policies-write-acl-policy2.
Добавьте новую или обновите существующую политику.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики. Пример: “ops” |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policy |
string | нет | Правила политики |
rules |
string | нет | ⚠️ Устарело. Правила политики |
Ответы
204: OK.
DELETE /sys/policy/{name}
ID операции: policies-delete-acl-policy2.
Удаление политики с заданным именем.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики. Пример: “ops” |
Ответы
204: OK.
GET /sys/pprof
ID операции: pprof-index.
Возвращает HTML-страницу, на которой перечислены доступные профили.
Ответы
200: OK.
GET /sys/pprof/allocs
ID операции: pprof-memory-allocations.
Возвращает выборку всех прошлых выделений памяти.
Ответы
200: OK.
GET /sys/pprof/block
ID операции: pprof-blocking.
Возвращает трассировку стека, которая привела к блокировке примитивов синхронизации.
Ответы
200: OK.
GET /sys/pprof/cmdline
ID операции: pprof-command-line.
Возвращает командную строку запущенной программы.
Ответы
200: OK.
GET /sys/pprof/goroutine
ID операции: pprof-goroutines.
Возвращает трассировку стека всех текущих goroutines.
Ответы
200: OK.
GET /sys/pprof/heap
ID операции: pprof-memory-allocations-live.
Возвращает выборку выделений памяти для живого объекта.
Ответы
200: OK.
GET /sys/pprof/mutex
ID операции: pprof-mutexes.
Возвращает трассировку стека держателей мьютексов, находящихся в споре.
Ответы
200: OK.
GET /sys/pprof/profile
ID операции: pprof-cpu-profile.
Возвращает полезную нагрузку профиля процессора в формате pprof.
Ответы
200: OK.
GET /sys/pprof/symbol
ID операции: pprof-symbols.
Возвращает счетчики программ, перечисленные в запросе.
Ответы
200: OK.
GET /sys/pprof/threadcreate
ID операции: pprof-thread-creations.
Возвращает трассировки стека, которые привели к созданию новых потоков ОС.
Ответы
200: OK.
GET /sys/pprof/trace
ID операции: pprof-execution-trace.
Возвращает трассировку выполнения в двоичном виде.
Ответы
200: OK.
GET /sys/quotas/config
ID операции: rate-limit-quotas-read-configuration.
Создание, обновление и чтение конфигурации квот.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
enable_rate_limit_audit_logging |
boolean | нет | |
enable_rate_limit_response_headers |
boolean | нет | |
rate_limit_exempt_paths |
array | нет |
POST /sys/quotas/config
ID операции: rate-limit-quotas-configure.
Создание, обновление и чтение конфигурации квот.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
enable_rate_limit_audit_logging |
boolean | нет | Если задано, начинает вести журнал аудита запросов, отклоненных из-за нарушения правила ограничения квот |
enable_rate_limit_response_headers |
boolean | нет | Если установлено, в ответы будут добавлены дополнительные HTTP-заголовки ограничения скорости |
rate_limit_exempt_paths |
array | нет | Указывает список путей, освобожденных от всех квот ограничения скорости. Если список пуст, ни один путь не будет освобожден |
Ответы
204: OK.
GET /sys/quotas/lease-count
ID операции: enterprise-stub-list-quotas-lease-count.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /sys/quotas/lease-count/{name}
ID операции: enterprise-stub-read-quotas-lease-count-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
200: OK.
POST /sys/quotas/lease-count/{name}
ID операции: enterprise-stub-write-quotas-lease-count-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
200: OK.
DELETE /sys/quotas/lease-count/{name}
ID операции: enterprise-stub-delete-quotas-lease-count-name.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
204: пустое тело.
GET /sys/quotas/rate-limit
ID операции: rate-limit-quotas-list.
Отображает имена всех квот ограничения скорости.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет |
GET /sys/quotas/rate-limit/{name}
ID операции: rate-limit-quotas-read.
Получение, создание или обновление квоты ресурсов для необязательного пространства имен или монтирования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя правила квотирования |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
block_interval |
integer | нет | |
interval |
integer | нет | |
name |
string | нет | |
path |
string | нет | |
rate |
number | нет | |
role |
string | нет | |
type |
string | нет |
POST /sys/quotas/rate-limit/{name}
ID операции: rate-limit-quotas-write.
Получение, создание или обновление квоты ресурсов для необязательного пространства имен или монтирования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя правила квотирования |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
block_interval |
integer | нет | Если установлено, то когда клиент достигает порога ограничения скорости, ему будет запрещено выполнять дальнейшие запросы до истечения ‘block_interval’ |
interval |
integer | нет | Продолжительность, в течение которой будет действовать ограничение скорости (по умолчанию ‘1s’) |
path |
string | нет | Путь к монтируемому объекту или пространству имен для применения квоты. Пустой путь настраивает глобальную квоту. Например, namespace1/ добавляет квоту к полному пространству имен, namespace1/auth/userpass добавляет квоту к userpass в namespace1 |
rate |
number | нет | Максимальное количество запросов в заданном интервале, разрешенное правилом квотирования. Значение ‘rate’ должно быть положительным |
role |
string | нет | Роль входа в систему, к которой будет применяться данная квота. Обратите внимание, что при установке параметра path должен быть настроен правильный метод аутентификации с концепцией ролей |
type |
string | нет | Тип правила квотирования |
Ответы
204: пустое тело.
DELETE /sys/quotas/rate-limit/{name}
ID операции: rate-limit-quotas-delete.
Получение, создание или обновление квоты ресурсов для необязательного пространства имен или монтирования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя правила квотирования |
Ответы
204: OK.
GET /sys/rekey/backup
ID операции: rekey-read-backup-key.
Возврат резервной копии PGP-зашифрованных ключей.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
object | нет | |
keys_base64 |
object | нет | |
nonce |
string | нет |
DELETE /sys/rekey/backup
ID операции: rekey-delete-backup-key.
Удаляет резервную копию PGP-зашифрованных ключей.
Ответы
204: OK.
GET /sys/rekey/init
ID операции: rekey-attempt-read-progress.
Считывает информацию о конфигурации и ходе выполнения текущей попытки повторного ключа.
Доступен без аутентификации: да.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
backup |
boolean | нет | |
n |
integer | нет | |
nounce |
string | нет | |
pgp_fingerprints |
array | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
string | нет | |
t |
integer | нет | |
verification_nonce |
string | нет | |
verification_required |
boolean | нет |
POST /sys/rekey/init
ID операции: rekey-attempt-initialize.
Инициализирует новую попытку повторного ключа.
Доступен без аутентификации: да.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
backup |
boolean | нет | Указывает, следует ли Stronghold хранить резервную копию PGP-шифрованных ключей в открытом виде, если используются PGP-шифрованные ключи |
pgp_keys |
array | нет | Указывает массив открытых ключей PGP, используемых для шифрования выходных ключей разблокировки. Порядок следования сохраняется. Ключи должны быть закодированы в base64 из их исходного двоичного представления. Размер этого массива должен быть таким же, как secret_shares |
require_verification |
boolean | нет | Включение функции проверки |
secret_shares |
integer | нет | Указывает количество долей, на которые нужно разделить ключ разблокировки |
secret_threshold |
integer | нет | Указывает количество долей, необходимых для восстановления ключа unseal. Это значение должно быть меньше или равно secret_shares. При использовании Stronghold HSM с автоматической разблокировкой это значение должно быть равно secret_shares |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
backup |
boolean | нет | |
n |
integer | нет | |
nounce |
string | нет | |
pgp_fingerprints |
array | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
string | нет | |
t |
integer | нет | |
verification_nonce |
string | нет | |
verification_required |
boolean | нет |
DELETE /sys/rekey/init
ID операции: rekey-attempt-cancel.
Отменяет любой выполняемый повторный ключ.
Доступен без аутентификации: да.
Ответы
200: OK.
GET /sys/rekey/recovery-key-backup
ID операции: rekey-read-backup-recovery-key.
Позволяет получить или удалить резервную копию повернутых ключей без печати.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
object | нет | |
keys_base64 |
object | нет | |
nonce |
string | нет |
DELETE /sys/rekey/recovery-key-backup
ID операции: rekey-delete-backup-recovery-key.
Позволяет получить или удалить резервную копию повернутых ключей без печати.
Ответы
204: OK.
POST /sys/rekey/update
ID операции: rekey-attempt-update.
Передаёт одну часть ключа для продолжения процедуры смены ключа Stronghold.
Доступен без аутентификации: да.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key |
string | нет | Указывает единственный ресурс ключей для разблокировки |
nonce |
string | нет | Указывает одноразовый идентификатор текущей попытки смены ключа |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
backup |
boolean | нет | |
complete |
boolean | нет | |
keys |
array | нет | |
keys_base64 |
array | нет | |
n |
integer | нет | |
nounce |
string | нет | |
pgp_fingerprints |
array | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
string | нет | |
t |
integer | нет | |
verification_nonce |
string | нет | |
verification_required |
boolean | нет |
GET /sys/rekey/verify
ID операции: rekey-verification-read-progress.
Считывание информации о конфигурации и ходе выполнения текущей попытки проверки ключа.
Доступен без аутентификации: да.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
n |
integer | нет | |
nounce |
string | нет | |
progress |
integer | нет | |
started |
string | нет | |
t |
integer | нет |
POST /sys/rekey/verify
ID операции: rekey-verification-update.
Введите один новый ключевой ресурс, чтобы выполнить операцию проверки нового ключа.
Доступен без аутентификации: да.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key |
string | нет | Указывает единственный ключ разблокировки ресурса из нового набора ресурсов |
nonce |
string | нет | Указывает nonce операции проверки повторного ключа |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
complete |
boolean | нет | |
nounce |
string | нет |
DELETE /sys/rekey/verify
ID операции: rekey-verification-cancel.
Отмена любой выполняемой операции проверки ключа.
Доступен без аутентификации: да.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
n |
integer | нет | |
nounce |
string | нет | |
progress |
integer | нет | |
started |
string | нет | |
t |
integer | нет |
POST /sys/remount
ID операции: remount.
Запуск миграции монтирования.
Требует sudo: да.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
from |
string | нет | Предыдущая точка монтирования |
to |
string | нет | Новая точка монтирования |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
migration_id |
string | нет |
GET /sys/remount/status/{migration_id}
ID операции: remount-status.
Проверка состояния миграции монтирования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
migration_id |
string | path | да | Идентификатор операции миграции |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
migration_id |
string | нет | |
migration_info |
object | нет |
POST /sys/renew
ID операции: leases-renew-lease2.
Продление договора аренды, запрос на продление договора аренды.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
increment |
integer | нет | Желаемый прирост в секундах к сроку аренды |
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды |
url_lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды |
Ответы
204: OK.
POST /sys/renew/{url_lease_id}
ID операции: leases-renew-lease-with-id2.
Продление договора аренды, запрос на продление договора аренды.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
url_lease_id |
string | path | да | Идентификатор аренды для продления. Он включается в договор аренды |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
increment |
integer | нет | Желаемый прирост в секундах к сроку аренды |
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды |
Ответы
204: OK.
GET /sys/replication/status
ID операции: system-read-replication-status.
Доступен без аутентификации: да.
Ответы
200: OK.
POST /sys/revoke
ID операции: leases-revoke-lease2.
Немедленно аннулирует договор аренды.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды |
sync |
boolean (default: True) | нет | Выполнять или не выполнять отзыв синхронно |
url_lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды |
Ответы
204: OK.
POST /sys/revoke-force/{prefix}
ID операции: leases-force-revoke-lease-with-prefix2.
Немедленно отзывает все секреты или токены, созданные под данным префиксом.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
prefix |
string | path | да | Путь для отзыва ключей. Пример: “prod/aws/ops” |
Ответы
204: OK.
POST /sys/revoke-prefix/{prefix}
ID операции: leases-revoke-lease-with-prefix2.
Немедленно отменяет все секреты (через префикс идентификатора аренды) или токены (через свойство пути токенов), созданные под данным префиксом.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
prefix |
string | path | да | Путь для отзыва ключей. Пример: “prod/aws/ops” |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
sync |
boolean (default: True) | нет | Выполнять или не выполнять отзыв синхронно |
Ответы
204: OK.
POST /sys/revoke/{url_lease_id}
ID операции: leases-revoke-lease-with-id2.
Немедленно аннулирует договор аренды.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
url_lease_id |
string | path | да | Идентификатор аренды для продления. Он включается в договор аренды |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды |
sync |
boolean (default: True) | нет | Выполнять или не выполнять отзыв синхронно |
Ответы
204: OK.
POST /sys/rotate
ID операции: encryption-key-rotate.
Поворачивает ключ шифрования бэкенда, используемый для сохранения данных.
Требует sudo: да.
Ответы
204: OK.
GET /sys/rotate/config
ID операции: encryption-key-read-rotation-configuration.
Настройка параметров, связанных с управлением ключами шифрования на внутреннем сервере.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
enabled |
boolean | нет | |
interval |
integer | нет | |
max_operations |
integer | нет |
POST /sys/rotate/config
ID операции: encryption-key-configure-rotation.
Настройка параметров, связанных с управлением ключами шифрования на внутреннем сервере.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
enabled |
boolean | нет | Параметр, указывающий, включено ли автоматическое обновление ключей |
interval |
integer | нет | Период (в секундах) между автоматическими обновлениями активного ключа после его установки |
max_operations |
integer | нет | Максимальное количество операций шифрования до автоматической замены ключа |
Ответы
204: OK.
POST /sys/seal
ID операции: seal.
Запечатайте Stronghold.
Ответы
204: OK.
GET /sys/seal-status
ID операции: seal-status.
Проверить статус запечатаности Stronghold.
Доступен без аутентификации: да.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
build_date |
string | нет | |
cluster_id |
string | нет | |
cluster_name |
string | нет | |
hcp_link_resource_ID |
string | нет | |
hcp_link_status |
string | нет | |
initialized |
boolean | нет | |
migration |
boolean | нет | |
n |
integer | нет | |
nonce |
string | нет | |
progress |
integer | нет | |
recovery_seal |
boolean | нет | |
sealed |
boolean | нет | |
storage_type |
string | нет | |
t |
integer | нет | |
type |
string | нет | |
version |
string | нет |
GET /sys/sealwrap/rewrap
ID операции: system-read-sealwrap-rewrap.
Ответы
200: OK.
POST /sys/sealwrap/rewrap
ID операции: system-write-sealwrap-rewrap.
Ответы
200: OK.
POST /sys/step-down
ID операции: step-down-leader.
Причиняет узлу отказ от активного статуса.
Ответы
204: пустое тело.
GET /sys/storage/raft/autopilot/configuration
ID операции: system-read-storage-raft-autopilot-configuration.
Возвращает конфигурацию автопилота.
Ответы
200: OK.
POST /sys/storage/raft/autopilot/configuration
ID операции: system-write-storage-raft-autopilot-configuration.
Возвращает конфигурацию автопилота.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cleanup_dead_servers |
boolean | нет | Управляет тем, удалять ли неработающие серверы из списка узлов Raft периодически или когда присоединяется новый сервер |
dead_server_last_contact_threshold |
integer | нет | Ограничение на время, в течение которого сервер может работать без контакта с лидером, прежде чем он будет считаться вышедшим из строя. Действует только при установленном cleanup_dead_servers |
disable_upgrade_migration |
boolean | нет | Выполнять ли автоматические обновления версий |
dr_operation_token |
string | нет | Токен операции DR, используемый для авторизации этого запроса (если это вторичный узел DR) |
last_contact_threshold |
integer | нет | Ограничение на время, в течение которого сервер может работать без контакта с лидером, прежде чем он будет считаться нездоровым |
max_trailing_logs |
integer | нет | Количество записей в журнале Raft, на которое сервер может отставать, прежде чем он будет считаться нездоровым |
min_quorum |
integer | нет | Минимальное количество серверов, разрешенное в кластере, прежде чем автопилот сможет удалять неработающие серверы. Должно быть не менее 3 |
server_stabilization_time |
integer | нет | Минимальное время, в течение которого сервер должен находиться в стабильном, работоспособном состоянии, прежде чем он может быть добавлен в кластер |
Ответы
200: OK.
GET /sys/storage/raft/autopilot/state
ID операции: system-read-storage-raft-autopilot-state.
Возвращает состояние кластера raft под интегрированным хранилищем, как видит автопилот.
Ответы
200: OK.
POST /sys/storage/raft/bootstrap/answer
ID операции: system-write-storage-raft-bootstrap-answer.
Принимает ответ от узла, который должен быть присоединен к кластеру raft.
Доступен без аутентификации: да.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
answer |
string | нет | |
cluster_addr |
string | нет | |
non_voter |
boolean | нет | |
server_id |
string | нет |
Ответы
200: OK.
POST /sys/storage/raft/bootstrap/challenge
ID операции: system-write-storage-raft-bootstrap-challenge.
Создает вызов для нового узла, который должен быть присоединен к кластеру raft.
Доступен без аутентификации: да.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
server_id |
string | нет |
Ответы
200: OK.
GET /sys/storage/raft/configuration
ID операции: system-read-storage-raft-configuration.
Возвращает конфигурацию кластера raft.
Ответы
200: OK.
POST /sys/storage/raft/configuration
ID операции: system-write-storage-raft-configuration.
Возвращает конфигурацию кластера raft в вторичном кластере DR.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
dr_operation_token |
string | нет | Токен операции DR, используемый для авторизации этого запроса (если это вторичный узел DR) |
Ответы
200: OK.
POST /sys/storage/raft/remove-peer
ID операции: system-write-storage-raft-remove-peer.
Удаление узла из кластера raft.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
dr_operation_token |
string | нет | Токен операции DR, используемый для авторизации этого запроса (если это вторичный узел DR) |
server_id |
string | нет |
Ответы
200: OK.
GET /sys/storage/raft/snapshot
ID операции: system-read-storage-raft-snapshot.
Возвращает снимок текущего состояния хранилища.
Ответы
200: OK.
POST /sys/storage/raft/snapshot
ID операции: system-write-storage-raft-snapshot.
Устанавливает предоставленный снимок, возвращая кластер в состояние, определенное в нем.
Ответы
200: OK.
GET /sys/storage/raft/snapshot-auto/config
ID операции: system-list-storage-raft-snapshot-auto-config.
Отображает все имена конфигураций автоматических снимков.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
GET /sys/storage/raft/snapshot-auto/config/{name}
ID операции: system-read-storage-raft-snapshot-auto-config-name.
Получает конфигурацию автоматического снимка.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя конфигурации для изменения |
Ответы
200: OK.
POST /sys/storage/raft/snapshot-auto/config/{name}
ID операции: system-write-storage-raft-snapshot-auto-config-name.
Обновляет конфигурацию автоматического снимка.
Требует sudo: да.
Поддерживается создание: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя конфигурации для изменения |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
aws_access_key_id |
string | нет | Идентификатор ключа доступа S3 |
aws_s3_bucket |
string | да | Контейнер S3 для записи снимков |
aws_s3_ca_certificate |
string (default: ) | нет | Сертификат CA S3 в формате PEM |
aws_s3_disable_tls |
boolean (default: False) | нет | Отключить TLS для конечной точки S3. Следует использовать только в целях тестирования, обычно в сочетании с s3_endpoint |
aws_s3_endpoint |
string | нет | Конечная точка S3 |
aws_s3_region |
string (default: ) | нет | Регион S3, в котором находится контейнер |
aws_secret_access_key |
string | нет | Секретный ключ доступа S3 |
file_prefix |
string (default: stronghold-snapshot) | нет | В каталоге или префиксе контейнера, заданном path_prefix, имя файла или объекта файлов снимков будет начинаться с этой строки |
interval |
integer | да | Время между снимками. Может быть целым числом секунд или строкой формата длительности Go (например, 24h) |
local_max_space |
integer (default: 0) | да | Для storage_type=local - максимальное пространство в байтах для использования всех снимков с заданным file_prefix в каталоге path_prefix. Попытки создания снимков будут неудачными, если в этом лимите недостаточно места. Значение 0 отключает ограничение |
path_prefix |
string | да | Для storage_type=local - каталог для записи снимков. Для типов облачного хранилища - префикс контейнера для использования, также ведущий / игнорируется. Завершающий / необязателен |
retain |
integer (default: 3) | нет | Сколько снимков следует хранить; при записи снимка, если уже сохранено снимков больше этого числа, самые старые будут удалены |
storage_type |
string (local, aws-s3) | да | Один из “local” или “s3”. Остальные параметры, описанные ниже, относятся к выбранному storage_type и имеют соответствующие префиксы |
Ответы
200: OK.
DELETE /sys/storage/raft/snapshot-auto/config/{name}
ID операции: system-delete-storage-raft-snapshot-auto-config-name.
Удаляет конфигурацию автоматического снимка.
Требует sudo: да.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя конфигурации для изменения |
Ответы
204: пустое тело.
GET /sys/storage/raft/snapshot-auto/status/{name}
ID операции: system-read-storage-raft-snapshot-auto-status-name.
Отображает статус автоматического снимка.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя статуса для получения |
Ответы
200: OK.
POST /sys/storage/raft/snapshot-force
ID операции: system-write-storage-raft-snapshot-force.
Устанавливает предоставленный снимок, возвращая кластер в состояние, определенное в нем. Это обходит проверки, обеспечивающие соответствие текущих ключей Autounseal или Shamir данным снимка.
Ответы
200: OK.
POST /sys/tools/hash
ID операции: generate-hash.
Сгенерируйте хеш-сумму для входных данных.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Используемый алгоритм (параметр тела POST). Допустимые значения: “sha2-224”, “sha2-256”, “sha2-384”, “sha2-512. По умолчанию - “sha2-256” |
format |
string (default: hex) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “hex” |
input |
string | нет | Входные данные в кодировке base64 |
urlalgorithm |
string | нет | Используемый алгоритм (параметр POST URL) |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
sum |
string | нет |
POST /sys/tools/hash/{urlalgorithm}
ID операции: generate-hash-with-algorithm.
Сгенерируйте хеш-сумму для входных данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
urlalgorithm |
string | path | да | Используемый алгоритм (параметр POST URL) |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Используемый алгоритм (параметр тела POST). Допустимые значения: “sha2-224”, “sha2-256”, “sha2-384”, “sha2-512. По умолчанию - “sha2-256” |
format |
string (default: hex) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “hex” |
input |
string | нет | Входные данные в кодировке base64 |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
sum |
string | нет |
POST /sys/tools/random
ID операции: generate-random.
Генерировать случайные байты.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит) |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “base64” |
source |
string (default: platform) | нет | Из какой системы брать случайные данные: “платформа”, “печать” или “все” |
urlbytes |
string | нет | Количество байт для генерации (параметр POST URL) |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
random_bytes |
string | нет |
POST /sys/tools/random/{source}
ID операции: generate-random-with-source.
Генерировать случайные байты.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
source |
string | path | да | Из какой системы брать случайные данные: “платформа”, “печать” или “все” |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит) |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “base64” |
urlbytes |
string | нет | Количество байт для генерации (параметр POST URL) |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
random_bytes |
string | нет |
POST /sys/tools/random/{source}/{urlbytes}
ID операции: generate-random-with-source-and-bytes.
Генерировать случайные байты.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
source |
string | path | да | Из какой системы брать случайные данные: “платформа”, “печать” или “все” |
urlbytes |
string | path | да | Количество байт для генерации (параметр POST URL) |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит) |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “base64” |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
random_bytes |
string | нет |
POST /sys/tools/random/{urlbytes}
ID операции: generate-random-with-bytes.
Генерировать случайные байты.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
urlbytes |
string | path | да | Количество байт для генерации (параметр POST URL) |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит) |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть “hex” или “base64”. По умолчанию используется “base64” |
source |
string (default: platform) | нет | Из какой системы брать случайные данные: “платформа”, “печать” или “все” |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
random_bytes |
string | нет |
POST /sys/unseal
ID операции: unseal.
Разблокировать Stronghold.
Доступен без аутентификации: да.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key |
string | нет | Указывает единственный ресурс ключей для разблокировки. Это необходимо, если значение reset не равно true |
reset |
boolean | нет | Указывает, отбрасываются ли ранее предоставленные ключи разблокировки и сбрасывается ли процесс разблокировки |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
build_date |
string | нет | |
cluster_id |
string | нет | |
cluster_name |
string | нет | |
hcp_link_resource_ID |
string | нет | |
hcp_link_status |
string | нет | |
initialized |
boolean | нет | |
migration |
boolean | нет | |
n |
integer | нет | |
nonce |
string | нет | |
progress |
integer | нет | |
recovery_seal |
boolean | нет | |
sealed |
boolean | нет | |
storage_type |
string | нет | |
t |
integer | нет | |
type |
string | нет | |
version |
string | нет |
GET /sys/version-history
ID операции: version-history.
Возвращает карту исторических записей об изменении версии.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_info |
object | нет | |
keys |
array | нет |
GET /sys/wrapping/lookup
ID операции: read-wrapping-properties2.
Просмотрите свойства обертки для токена запросчика.
Доступен без аутентификации: да.
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
creation_path |
string | нет | |
creation_time |
string | нет | |
creation_ttl |
integer | нет |
POST /sys/wrapping/lookup
ID операции: read-wrapping-properties.
Поиск свойств обертки для данного токена.
Доступен без аутентификации: да.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token |
string | нет |
Ответы
200: OK.
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
creation_path |
string | нет | |
creation_time |
string | нет | |
creation_ttl |
integer | нет |
POST /sys/wrapping/rewrap
ID операции: rewrap.
Возвращает маркер, завернутый в ответ.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token |
string | нет |
Ответы
200: OK.
POST /sys/wrapping/unwrap
ID операции: unwrap.
Возвращает данные, обёрнутые в одноразовый токен, и делает токен недействительным.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token |
string | нет |
Ответы
200: OK.
204: Пустое тело.
POST /sys/wrapping/wrap
ID операции: wrap.
Обертка ответа для произвольного объекта JSON.
Ответы
200: OK.