将数据写入pki / issue / vault-server时出错：此角色不允许使用公用名

Question

将文件库fqdn从vault.**.**.**.abc.com迁移到vault.**.**.**.def.com时。遇到这个错误。已经在route53中创建了CNAME，并且可以解析该域。

URL: PUT https://ap-ops-vault.***.com/v1/pki/issue/vault-server
Code: 400. Errors:

 * common name vault.**.**.**.def.com not allowed by this role```

Answer 1

我看不到您的保险柜角色配置，所以我猜您设置了allowed_domains字段，其中包含abc.com但没有def.com。您将需要更新角色以允许来自新域的名称。

在Terraform中大概是这样的：

resource "vault_pki_secret_backend_role" "role" {
  backend = "${vault_pki_secret_backend.pki.path}"
  name    = "my_role"
  ...
  allowed_domains = ["abc.com", "def.com"]
  allow_subdomains = true
  ...
}

文档：

• https://www.vaultproject.io/api-docs/secret/pki#allowed_domains
• https://www.terraform.io/docs/providers/vault/r/pki_secret_backend_role.html#allowed_domains