準備公司和 HashiCorp Vault 伺服器金鑰。

使用以下命令產生金鑰檔案

openssl genrsa -aes256 -out company.key 4096
openssl genrsa -aes256 -out vault.key 2048

這些命令會產生保存公司私密金鑰 (company.key) 和 Vault 伺服器私密金鑰 (vault.key) 的檔案。金鑰分別是隨機產生的 4,096 位元和 2,048 位元 RSA 金鑰。

每個命令都會提示輸入密碼。為了測試目的，不需要密碼。若要停用密碼，請省略 -aes256 引數。

金鑰檔案包含敏感資訊，應儲存在安全的位置。密碼 (也是敏感資訊) 稍後需要，因此請寫下並儲存在安全的位置。

(選擇性) 若要檢查金鑰檔案內容和有效性，請使用以下命令

openssl rsa -in company.key -check
openssl rsa -in vault.key -check

建立公司 CA 憑證。

使用以下命令建立名為 company.crt 的公司 CA 憑證檔案，該憑證的有效期為 365 天（在單行上輸入命令）

openssl req -x509 -new -nodes -key company.key
  -sha256 -days 365 -out company.crt

如果您在產生金鑰期間使用 -aes256 引數執行金鑰加密，則系統會在建立 CA 憑證期間提示您輸入公司金鑰密碼。系統也會提示您輸入有關憑證持有者 (即您或您的公司) 的資訊，如下所示

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

使用適當的值回答提示。

建立憑證簽署要求。

若要建立 HashiCorp Vault 伺服器憑證，必須為新建立的伺服器金鑰準備憑證簽署要求 (CSR)。建立名為 request.conf 的組態檔案，其中包含以下幾行。如果 HashiCorp Vault 伺服器不在本機主機上執行，請替換適當的 CN 和 IP 值，並進行任何其他必要的變更。

[req]
distinguished_name = vault
x509_entensions = v3_req
prompt = no

[vault]
C = US
ST = CA
L = RWC
O = Company
CN = 127.0.0.1

[v3_req]
subjectAltName = @alternatives
authorityKeyIdentifier = keyid,issuer
basicConstraints = CA:TRUE

[alternatives]
IP = 127.0.0.1

使用此命令建立簽署要求

openssl req -new -key vault.key -config request.conf -out request.csr

輸出檔案 (request.csr) 是一個中間檔案，作為建立伺服器憑證的輸入。

建立 HashiCorp Vault 伺服器憑證。

使用公司憑證 (company.crt) 簽署 HashiCorp Vault 伺服器金鑰 (vault.key) 和 CSR (request.csr) 中的組合資訊，以建立 HashiCorp Vault 伺服器憑證 (vault.crt)。使用以下命令執行此操作（在單行上輸入命令）

openssl x509 -req -in request.csr
  -CA company.crt -CAkey company.key -CAcreateserial
  -out vault.crt -days 365 -sha256

若要使 vault.crt 伺服器憑證可用，請將 company.crt 公司憑證的內容附加到其中。這是必要的，以便在請求中將公司憑證與伺服器憑證一起傳送。

cat company.crt >> vault.crt

如果您顯示 vault.crt 檔案的內容，它應該如下所示

-----BEGIN CERTIFICATE-----
... content of HashiCorp Vault server certificate ...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
... content of company certificate ...
-----END CERTIFICATE-----

擷取 HashiCorp Vault 二進位檔。

從 https://www.vaultproject.io/downloads.html 下載適用於您平台的 HashiCorp Vault 二進位檔。

解壓縮封存的內容以產生可執行 vault 命令，用於執行 HashiCorp Vault 作業。如有必要，請將安裝命令的目錄新增至系統路徑。

(選擇性) HashiCorp Vault 支援自動完成選項，使其更容易使用。如需更多資訊，請參閱 https://learn.hashicorp.com/vault/getting-started/install#command-completion。

建立 HashiCorp Vault 伺服器組態檔案。

準備名為 config.hcl 的組態檔案，其中包含以下內容。對於 tls_cert_file、tls_key_file 和 path 值，請替換適用於您系統的路徑名稱。

listener "tcp" {
  address="127.0.0.1:8200"
  tls_cert_file="/home/username/certificates/vault.crt"
  tls_key_file="/home/username/certificates/vault.key"
}

storage "file" {
  path = "/home/username/vaultstorage/storage"
}

ui = true

啟動 HashiCorp Vault 伺服器。

若要啟動 Vault 伺服器，請使用以下命令，其中 -config 選項指定剛建立的組態檔案的路徑

vault server -config=config.hcl

在此步驟中，系統可能會提示您輸入儲存在 vault.key 檔案中的 Vault 伺服器私密金鑰密碼。

伺服器應啟動，並在主控台上顯示一些資訊 (IP、連接埠等等)。

為了讓您能夠輸入剩餘的命令，請將 vault server 命令放在背景中，或在繼續之前開啟另一個終端機。

初始化 HashiCorp Vault 伺服器。

發出以下命令 (假設 Bourne shell 語法)

export VAULT_SKIP_VERIFY=1
vault operator init -n 1 -t 1

第一個命令啟用 vault 命令，以暫時忽略未將任何公司憑證新增至系統信任存放區的事實。它會補償我們的自我簽署 CA 未新增至該存放區的事實。(對於生產使用，應新增此類憑證。)

第二個命令會建立單一取消密封金鑰，並要求存在單一取消密封金鑰才能進行取消密封。(對於生產使用，執行個體將具有多個取消密封金鑰，最多需要輸入這些金鑰才能取消密封。取消密封金鑰應傳遞給公司內的金鑰管理員。使用單一金鑰可能會被視為安全問題，因為這允許單一金鑰管理員取消密封 Vault。)

Vault 應回覆有關取消密封金鑰和根權杖的資訊，以及一些額外的文字 (實際取消密封金鑰和根權杖值與此處顯示的值不同)

...
Unseal Key 1: I2xwcFQc892O0Nt2pBiRNlnkHzTUrWS+JybL39BjcOE=
Initial Root Token: s.vTvXeo3tPEYehfcd9WH7oUKz
...

將取消密封金鑰和根權杖儲存在安全的位置。

取消密封 HashiCorp Vault 伺服器。

使用此命令取消密封 Vault 伺服器

vault operator unseal

當系統提示輸入取消密封金鑰時，請使用先前在 Vault 初始化期間取得的金鑰。

Vault 應產生輸出，指出設定已完成且 Vault 已取消密封。

登入 HashiCorp Vault 伺服器並驗證其狀態。

準備以根使用者身分登入所需的環境變數

vault login s.vTvXeo3tPEYehfcd9WH7oUKz

對於該命令中的權杖值，請替換先前在 Vault 初始化期間取得的根權杖內容。

驗證 Vault 伺服器狀態

vault status

輸出應包含以下幾行 (除其他外)

...
Initialized     true
Sealed          false
...

設定 HashiCorp Vault 驗證和儲存。

啟用 AppRole 驗證方法並驗證它是否在驗證方法清單中

vault auth enable approle
vault auth list

啟用 Vault KeyValue 儲存引擎

vault secrets enable -version=1 kv

建立並設定角色以與 keyring_hashicorp 外掛程式搭配使用（在單行上輸入命令）

vault write auth/approle/role/mysql token_num_uses=0
  token_ttl=20m token_max_ttl=30m secret_id_num_uses=0

新增 AppRole 安全性原則。

準備一項原則，以允許先前建立的角色存取適當的密碼。建立一個名為 mysql.hcl 的新檔案，其中包含以下內容

path "kv/mysql/*" {
  capabilities = ["create", "read", "update", "delete", "list"]
}

將原則檔案匯入 Vault 伺服器以建立名為 mysql-policy 的原則，然後將該原則指派給新角色

vault policy write mysql-policy mysql.hcl
vault write auth/approle/role/mysql policies=mysql-policy

取得新建立的角色的 ID 並將其儲存在安全的位置

vault read auth/approle/role/mysql/role-id

為角色產生秘密 ID 並將其儲存在安全的位置

vault write -f auth/approle/role/mysql/secret-id

在產生這些 AppRole 角色 ID 和秘密 ID 認證後，它們預計會無限期保持有效。不需要再次產生，並且可以使用它們配置 keyring_hashicorp 外掛程式以持續使用。如需有關 AuthRole 驗證的詳細資訊，請造訪 https://www.vaultproject.io/docs/auth/approle.html。

使用 SET 陳述式，將所需的新值指派給上表所示的組態系統變數。這些指派本身對正在進行的外掛程式操作沒有影響。

叫用 keyring_hashicorp_update_config()，使外掛程式重新設定並使用新的變數值重新連線到 HashiCorp Vault 伺服器。

如果連線成功，外掛程式會將更新後的組態值儲存在名稱中具有 _commit_ 的對應系統變數中。