Barbican筆記

雜記

記錄一下最近研究barbican組件的個(gè)人理解肛响。

barbican主要是密鑰管理的。存儲(chǔ)（store secret）的時(shí)候有各種文件格式（text\plain）古话，獲取的時(shí)候根據(jù)它是證書嫁怀，私鑰進(jìn)行格式化刃唐，比如x509。

{'text/plain': 'text/plain',
'text/plain;charset=utf-8': 'text/plain',
'text/plain; charset=utf-8': 'text/plain',
'application/octet-stream': 'application/octet-stream',
'application/pkcs8': 'application/pkcs8',
'application/aes': 'application/aes'}

tips：ocatavia可以對(duì)pkcs12證書進(jìn)行格式化（當(dāng)然也是封裝的接口）减宣，一般情況下盐须，獲取的證書默認(rèn)進(jìn)行pkcs12格式化的，同時(shí)也兼容了barbican原生的證書格式化漆腌。包括監(jiān)聽器綁定證書的方式也同lbv2不一樣贼邓，并沒有采用容器的方式（實(shí)際pkcs12也可以看著是容器）。

barbican后端支持多種存儲(chǔ)闷尿，所以官網(wǎng)提供了多個(gè)插件：

[secretstore]
# Set to True when multiple plugin backends support is needed
enable_multiple_secret_stores = True
stores_lookup_suffix = software, kmip, pkcs11, dogtag 
[secretstore:software]
secret_store_plugin = store_crypto
crypto_plugin = simple_crypto
[secretstore:kmip]
secret_store_plugin = kmip_plugin
global_default = True 
[secretstore:dogtag]
secret_store_plugin = dogtag_plugin 
[secretstore:pkcs11]
secret_store_plugin = store_crypto
crypto_plugin = p11_crypto

目前barbican自身代碼塑径，限定了pkcs8,pkcs11,x509等格式的支持程度。
lbv2支持的私鑰是pkcs8(??????)證書是x509悠砚，octvia在代碼里增加了pkcs12的代碼文件晓勇，并新增/certificate/manager/barbican.py可實(shí)現(xiàn)barbican對(duì)pkcs12的支持，所以私鑰和證書都可以支持pkcs12
https://developer.openstack.org/api-guide/key-manager/containers.html#certificate-containers
https://docs.openstack.org/releasenotes/octavia/queens.html

Users can now use a reference to a single PKCS12 bundle as their default_tls_container_ref instead of a Barbican container with individual secret objects. PKCS12 supports bundling a private key, certificate, and intermediates. Private keys can no longer be passphrase protected when using PKCS12 bundles. No configuration change is necessary to enable this feature. Users may simply begin using this. Any use of the old style containers will be detected and automatically fall back to using the old Barbican driver.
Certificate bundles can now be stored in any backend Castellan supports, and can be retrieved via a Castellan driver, even if Barbican is not deployed.

創(chuàng)建證書容器的body如下：

{          
    "type": "certificate",
    "status": "ACTIVE",
    "name": "Example.com Certificates",
    "consumers": [],
    "container_ref": "https://{barbican_host}/v1/containers/{uuid}",
    "secret_refs": [
        {
            "name": "certificate",
            "secret_ref": "https://{barbican_host}/v1/secrets/{uuid}"
        },
        {
            "name": "private_key",
            "secret_ref": "https://{barbican_host}/v1/secrets/{uuid}"
        },
        {
            "name": "private_key_passphrase",
            "secret_ref": "https://{barbican_host}/v1/secrets/{uuid}"
        },
        {
            "name": "intermediates",
            "secret_ref": "https://{barbican_host}/v1/secrets/{uuid}"
        }

    ],
    "created": "2015-03-30T21:10:45.417835",
    "updated": "2015-03-30T21:10:45.417835"
}

證書容器是用來(lái)存儲(chǔ)證書相關(guān)的密鑰灌旧，需要指定以下幾種type绑咱，其中certificate是必須指定，其余的均是可選的枢泰。

A certificate container is used for storing the following secrets that are relevant to certificates:
certificate
private_key (optional)
private_key_passphrase (optional)
intermediates (optional)
The payload for the secret referenced as the “certificate” is expected to be a PEM formatted x509 certificate.
The payload for the secret referenced as the “intermediates” is expected to be a PEM formatted PKCS7 certificate chain.

參考

http://www.iceyao.com.cn/2017/11/19/Neutron-lbaas%E4%BB%A3%E7%90%86https%E5%AE%9E%E8%B7%B5/
https://docs.openstack.org/barbican/latest/install/barbican-backend.html
https://docs.openstack.org/barbican/latest/configuration/plugin_backends.html
https://developer.openstack.org/api-guide/key-manager/containers.html#certificate-containers
https://docs.openstack.org/releasenotes/octavia/queens.html
個(gè)人分析描融，歡迎指正，若轉(zhuǎn)載請(qǐng)注明出處衡蚂！
歡迎訪問(wèn)我的主頁(yè)

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末窿克，一起剝皮案震驚了整個(gè)濱河市尸昧，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌宛畦，老刑警劉巖纬纪，帶你破解...
沈念sama閱讀 217,542評(píng)論 6贊 504
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場(chǎng)離奇詭異只损，居然都是意外死亡一姿，警方通過(guò)查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 92,822評(píng)論 3贊 394
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門跃惫，熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)叮叹，“玉大人，你說(shuō)我怎么就攤上這事爆存◎韧纾” “怎么了？”我有些...
開封第一講書人閱讀 163,912評(píng)論 0贊 354
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵先较，是天一觀的道長(zhǎng)携冤。經(jīng)常有香客問(wèn)我，道長(zhǎng)拇泣，這世上最難降的妖魔是什么噪叙？我笑而不...
開封第一講書人閱讀 58,449評(píng)論 1贊 293
?港島之戀（遺憾婚禮）
正文為了忘掉前任，我火速辦了婚禮霉翔，結(jié)果婚禮上睁蕾，老公的妹妹穿的比我還像新娘。我一直安慰自己债朵，他們只是感情好子眶，可當(dāng)我...
茶點(diǎn)故事閱讀 67,500評(píng)論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來(lái)的
文/花漫我一把揭開白布。她就那樣靜靜地躺著序芦，像睡著了一般臭杰。火紅的嫁衣襯著肌膚如雪。梳的紋絲不亂的頭發(fā)上谚中，一...
開封第一講書人閱讀 51,370評(píng)論 1贊 302
城市分裂傳說(shuō)
那天渴杆，我揣著相機(jī)與錄音，去河邊找鬼宪塔。笑死磁奖，一個(gè)胖子當(dāng)著我的面吹牛，可吹牛的內(nèi)容都是我干的某筐。我是一名探鬼主播比搭，決...
沈念sama閱讀 40,193評(píng)論 3贊 418
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼，長(zhǎng)吁一口氣：“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼南誊！你這毒婦竟也來(lái)了身诺？” 一聲冷哼從身側(cè)響起蜜托，我...
開封第一講書人閱讀 39,074評(píng)論 0贊 276
萬(wàn)榮殺人案實(shí)錄
序言：老撾萬(wàn)榮一對(duì)情侶失蹤，失蹤者是張志新（化名）和其女友劉穎霉赡，沒想到半個(gè)月后橄务，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 45,505評(píng)論 1贊 314
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡同廉，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,722評(píng)論 3贊 335
?白月光啟示錄
正文我和宋清朗相戀三年仪糖，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了柑司。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片迫肖。...
茶點(diǎn)故事閱讀 39,841評(píng)論 1贊 348
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡，死狀恐怖攒驰，靈堂內(nèi)的尸體忽然破棺而出蟆湖，到底是詐尸還是另有隱情，我是刑警寧澤玻粪，帶...
沈念sama閱讀 35,569評(píng)論 5贊 345
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布隅津，位于F島的核電站，受9級(jí)特大地震影響劲室，放射性物質(zhì)發(fā)生泄漏伦仍。R本人自食惡果不足惜，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,168評(píng)論 3贊 328
男人毒藥：我在死后第九天來(lái)索命
文/蒙蒙一很洋、第九天我趴在偏房一處隱蔽的房頂上張望充蓝。院中可真熱鬧，春花似錦喉磁、人聲如沸谓苟。這莊子的主人今日做“春日...
開封第一講書人閱讀 31,783評(píng)論 0贊 22
一樁弒父案协怒，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽(yáng)涝焙。三九已至，卻和暖如春孕暇，著一層夾襖步出監(jiān)牢的瞬間仑撞，已是汗流浹背。一陣腳步聲響...
開封第一講書人閱讀 32,918評(píng)論 1贊 269
情欲美人皮
我被黑心中介騙來(lái)泰國(guó)打工妖滔，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留隧哮，地道東北人。一個(gè)月前我還...
沈念sama閱讀 47,962評(píng)論 2贊 370
代替公主和親
正文我出身青樓铛楣，卻偏偏與公主長(zhǎng)得像近迁，于是被迫代替她去往敵國(guó)和親。傳聞我的和親對(duì)象是個(gè)殘疾皇子簸州，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 44,781評(píng)論 2贊 354

Barbican筆記

雜記

參考

推薦閱讀更多精彩內(nèi)容