Supongamos que uno tiene un servicio proporcionado por el Cónsul, para el cual active.[name-of-service].service.consul
es el enlace que proporciona al líder de host activo para ese servicio. ¿Cómo puedo configurar correctamente TLS para ese nombre de dominio .consul
?
Por ejemplo, supongamos que tengo un servicio HashiCorp Vault, para el cual HashiCorp Consul proporciona descubrimiento de servicio con el HashiCorp Consul DNS interfaz por active.vault.service.consul
. Si hay más
He escuchado que la opción de configuración "-dominio" puede usarse para cambiar el TLD de .consul a .somethingelse. ¿Se puede cambiar a .subdomain.mymaindomain.com y aún funciona sin tener que contactar con el DNS corporativo? Si es así, podría potencialmente obtener un subdominio real para un servicio de cónsul / bóveda y configurar las consultas de DNS de nuestro cónsul para que respondan bajo ese subdominio. Eso nos permitiría utilizar certificados de servidor TLS reales y de confianza para proteger las comunicaciones.
Sin embargo, sin usar la función CA de Consul, parece difícil configurar un certificado que tenga active.vault.service.consul
en una SAN.
¿Necesito usar una CA privada para esto?
El Cónsul tiene una página sobre cómo configurar el cifrado con TLS , pero parece ser más para autenticar clientes que para usar con nombres de dominio.
De todos modos, aparte de los certificados autofirmados, ¿cómo se consigue que TLS para URI como https://active.vault.service.consul:8200/sys/health
funcione correctamente?