準備公司和 HashiCorp Vault 伺服器金鑰。

使用下列命令來產生金鑰檔案

openssl genrsa -aes256 -out company.key 4096
openssl genrsa -aes256 -out vault.key 2048

這些指令會產生包含公司私鑰 (company.key) 和 Vault 伺服器私鑰 (vault.key) 的檔案。這些金鑰分別是隨機產生的 4,096 位元和 2,048 位元 RSA 金鑰。

每個指令都會提示輸入密碼。為了測試目的，密碼並非必要。若要停用密碼，請省略 -aes256 引數。

金鑰檔案包含敏感資訊，應儲存在安全的位置。密碼（也是敏感資訊）稍後會用到，因此請寫下來並儲存在安全的位置。

(選用) 若要檢查金鑰檔案內容和有效性，請使用以下指令

openssl rsa -in company.key -check
openssl rsa -in vault.key -check

建立公司 CA 憑證。

使用以下指令來建立一個名為 company.crt 的公司 CA 憑證檔案，該檔案有效期為 365 天（請在一行輸入此指令）

openssl req -x509 -new -nodes -key company.key
  -sha256 -days 365 -out company.crt

如果您在金鑰產生期間使用 -aes256 引數來執行金鑰加密，系統會在建立 CA 憑證期間提示您輸入公司金鑰密碼。系統也會提示您輸入關於憑證持有者（也就是您或您的公司）的資訊，如下所示

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

請使用適當的值回答提示。

建立憑證簽署請求。

若要建立 HashiCorp Vault 伺服器憑證，必須為新建立的伺服器金鑰準備憑證簽署請求 (CSR)。建立一個名為 request.conf 的組態檔，其中包含以下幾行。如果 HashiCorp Vault 伺服器不在本機主機上執行，請替換適當的 CN 和 IP 值，並進行任何其他必要的變更。

[req]
distinguished_name = vault
x509_entensions = v3_req
prompt = no

[vault]
C = US
ST = CA
L = RWC
O = Company
CN = 127.0.0.1

[v3_req]
subjectAltName = @alternatives
authorityKeyIdentifier = keyid,issuer
basicConstraints = CA:TRUE

[alternatives]
IP = 127.0.0.1

使用此指令來建立簽署請求

openssl req -new -key vault.key -config request.conf -out request.csr

輸出檔案 (request.csr) 是一個中間檔案，作為建立伺服器憑證的輸入。

建立 HashiCorp Vault 伺服器憑證。

使用公司憑證 (company.crt) 簽署 HashiCorp Vault 伺服器金鑰 (vault.key) 和 CSR (request.csr) 中的組合資訊，以建立 HashiCorp Vault 伺服器憑證 (vault.crt)。請使用以下指令來執行此操作（請在一行輸入此指令）

openssl x509 -req -in request.csr
  -CA company.crt -CAkey company.key -CAcreateserial
  -out vault.crt -days 365 -sha256

若要讓 vault.crt 伺服器憑證有用，請將 company.crt 公司憑證的內容附加到其中。這是必要步驟，以便公司憑證與伺服器憑證一同在請求中傳遞。

cat company.crt >> vault.crt

如果您顯示 vault.crt 檔案的內容，它應該看起來像這樣

-----BEGIN CERTIFICATE-----
... content of HashiCorp Vault server certificate ...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
... content of company certificate ...
-----END CERTIFICATE-----

擷取 HashiCorp Vault 二進位檔。

從 https://www.vaultproject.io/downloads.html 下載適用於您平台的 HashiCorp Vault 二進位檔。

解壓縮封存的內容，以產生可執行 vault 指令，該指令用於執行 HashiCorp Vault 作業。如有必要，請將安裝該指令的目錄新增至系統路徑。

(選用) HashiCorp Vault 支援自動完成選項，讓使用起來更輕鬆。如需詳細資訊，請參閱 https://learn.hashicorp.com/vault/getting-started/install#command-completion。

建立 HashiCorp Vault 伺服器組態檔。

準備一個名為 config.hcl 的組態檔，其中包含以下內容。對於 tls_cert_file、tls_key_file 和 path 值，請替換適用於您系統的路徑名稱。

listener "tcp" {
  address="127.0.0.1:8200"
  tls_cert_file="/home/username/certificates/vault.crt"
  tls_key_file="/home/username/certificates/vault.key"
}

storage "file" {
  path = "/home/username/vaultstorage/storage"
}

ui = true

啟動 HashiCorp Vault 伺服器。

若要啟動 Vault 伺服器，請使用以下指令，其中 -config 選項指定剛建立的組態檔的路徑

vault server -config=config.hcl

在此步驟中，系統可能會提示您輸入儲存在 vault.key 檔案中的 Vault 伺服器私鑰密碼。

伺服器應該會啟動，並在主控台上顯示一些資訊（IP、連接埠等）。

為了讓您可以輸入剩餘的指令，請將 vault server 指令放入背景或開啟另一個終端機，然後再繼續。

初始化 HashiCorp Vault 伺服器。

發出以下指令（假設使用 Bourne shell 語法）

export VAULT_SKIP_VERIFY=1
vault operator init -n 1 -t 1

第一個指令讓 vault 指令暫時忽略尚未將公司憑證新增至系統信任儲存區的事實。它可以補償我們自我簽署的 CA 未新增至該儲存區的事實。（對於生產用途，應該新增此類憑證。）

第二個指令建立一個解除密封金鑰，要求必須存在一個解除密封金鑰才能解除密封。（對於生產用途，一個執行個體會有多個解除密封金鑰，最多需要輸入那麼多金鑰才能解除密封。解除密封金鑰應傳遞給公司內部的金鑰保管人。使用單一金鑰可能被視為安全問題，因為這允許單一金鑰保管人解除密封 vault。）

Vault 應回覆關於解除密封金鑰和根權杖的資訊，以及一些其他文字（實際的解除密封金鑰和根權杖值與此處顯示的不同）

...
Unseal Key 1: I2xwcFQc892O0Nt2pBiRNlnkHzTUrWS+JybL39BjcOE=
Initial Root Token: s.vTvXeo3tPEYehfcd9WH7oUKz
...

將解除密封金鑰和根權杖儲存在安全的位置。

解除密封 HashiCorp Vault 伺服器。

使用此指令來解除密封 Vault 伺服器

vault operator unseal

當系統提示您輸入解除密封金鑰時，請使用先前在 Vault 初始化期間取得的金鑰。

Vault 應產生輸出，指示設定已完成且 vault 已解除密封。

登入 HashiCorp Vault 伺服器並驗證其狀態。

準備以根使用者身分登入所需的環境變數

vault login s.vTvXeo3tPEYehfcd9WH7oUKz

對於該指令中的權杖值，請替換先前在 Vault 初始化期間取得的根權杖內容。

驗證 Vault 伺服器狀態

vault status

輸出應包含以下幾行（以及其他內容）

...
Initialized     true
Sealed          false
...

設定 HashiCorp Vault 驗證和儲存。

啟用 AppRole 驗證方法，並驗證它是否在驗證方法清單中

vault auth enable approle
vault auth list

啟用 Vault KeyValue 儲存引擎

vault secrets enable -version=1 kv

建立並設定一個供 keyring_hashicorp 外掛程式使用的角色（請在一行輸入此指令）

vault write auth/approle/role/mysql token_num_uses=0
  token_ttl=20m token_max_ttl=30m secret_id_num_uses=0

新增 AppRole 安全性原則。

準備一個原則，允許先前建立的角色存取適當的機密。建立一個名為 mysql.hcl 的新檔案，其中包含以下內容

path "kv/mysql/*" {
  capabilities = ["create", "read", "update", "delete", "list"]
}

將原則檔案匯入 Vault 伺服器以建立一個名為 mysql-policy 的原則，然後將該原則指派給新角色

vault policy write mysql-policy mysql.hcl
vault write auth/approle/role/mysql policies=mysql-policy

取得新建立的角色 ID，並將其儲存在安全的位置

vault read auth/approle/role/mysql/role-id

為該角色產生一個機密 ID，並將其儲存在安全的位置

vault write -f auth/approle/role/mysql/secret-id

在產生這些 AppRole 角色 ID 和機密 ID 憑證後，它們應保持有效，直到無限期。它們不需要再次產生，而且可以使用它們來配置 keyring_hashicorp 外掛程式，以便持續使用。如需有關 AuthRole 驗證的詳細資訊，請造訪 https://www.vaultproject.io/docs/auth/approle.html。

使用 SET 陳述式將所需的新值指派給上表中顯示的組態系統變數。這些指派本身對正在進行的外掛程式操作沒有影響。

呼叫 keyring_hashicorp_update_config()，使外掛程式重新組態並使用新的變數值重新連線至 HashiCorp Vault 伺服器。

如果連線成功，外掛程式會將更新的組態值儲存在名稱中包含 _commit_ 的對應系統變數中。