Stronghold API
Версия: 1.16.0
HTTP API, который дает вам полный доступ к Stronghold. Все маршруты API имеют префикс /v1/.
auth
GET /auth/token/accessors
ID операции: token-list-accessors
Отображает список аксессоров токенов, которые могут быть использованы для итерации и обнаружения их свойств или отзыва. Поскольку это может быть использовано для вызова отказа в обслуживании, эта конечная точка требует наличия прав 'sudo' в дополнение к 'list'.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
POST /auth/token/create
ID операции: token-create
Создает новый токен. Метод используется для создания новых токенов.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
display_name |
string | нет | Имя, которое нужно связать с этим токеном |
entity_alias |
string | нет | Имя псевдонима сущности, который нужно связать с этим токеном |
explicit_max_ttl |
string | нет | Явный максимальный TTL этого токена |
id |
string | нет | Значение для токена |
lease |
string | нет | ⚠️ Устарело. Вместо этого используйте 'ttl'. |
meta |
object | нет | Произвольные метаданные ключ=значение, которые нужно связать с токеном |
no_default_policy |
boolean | нет | Не включать политику по умолчанию для этого токена |
no_parent |
boolean | нет | Создайте токен без родителя |
num_uses |
integer | нет | Максимальное количество использований этого токена |
period |
string | нет | Период обновления |
policies |
array | нет | Список политик для токена |
renewable |
boolean (default: True) | нет | Позволяет обновлять токен по истечении его начального TTL до максимального TTL системы/монтажа |
ttl |
string | нет | Время жизни этого токена |
type |
string | нет | Тип токена |
Ответы
200: OK
POST /auth/token/create-orphan
ID операции: token-create-orphan
Создает новый токен. Метод используется для создания новых токенов-сирот.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
display_name |
string | нет | Имя, которое нужно связать с этим токеном |
entity_alias |
string | нет | Имя псевдонима сущности, который нужно связать с этим токеном |
explicit_max_ttl |
string | нет | Явный максимальный TTL этого токена |
id |
string | нет | Значение для токена |
lease |
string | нет | ⚠️ Устарело. Вместо этого используйте 'ttl'. |
meta |
object | нет | Произвольные метаданные ключ=значение, которые нужно связать с токеном |
no_default_policy |
boolean | нет | Не включать политику по умолчанию для этого токена |
no_parent |
boolean | нет | Создайте токен без родителя |
num_uses |
integer | нет | Максимальное количество использований этого токена |
period |
string | нет | Период обновления |
policies |
array | нет | Список политик для токена |
renewable |
boolean (default: True) | нет | Позволяет обновлять токен по истечении его начального TTL до максимального TTL системы/монтажа |
ttl |
string | нет | Время жизни этого токена |
type |
string | нет | Тип токена |
Ответы
200: OK
POST /auth/token/create/{role_name}
ID операции: token-create-against-role
Создает новый токен. Метод используется для создания новых токенов, соответствующих заданной роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Название роли |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
display_name |
string | нет | Имя, которое нужно связать с этим токеном |
entity_alias |
string | нет | Имя псевдонима сущности, который нужно связать с этим токеном |
explicit_max_ttl |
string | нет | Явный максимальный TTL этого токена |
id |
string | нет | Значение для токена |
lease |
string | нет | ⚠️ Устарело. Вместо этого используйте 'ttl'. |
meta |
object | нет | Произвольные метаданные ключ=значение, которые нужно связать с токеном |
no_default_policy |
boolean | нет | Не включать политику по умолчанию для этого токена |
no_parent |
boolean | нет | Создайте токен без родителя |
num_uses |
integer | нет | Максимальное количество использований этого токена |
period |
string | нет | Период обновления |
policies |
array | нет | Список политик для токена |
renewable |
boolean (default: True) | нет | Позволяет обновлять токен по истечении его начального TTL до максимального TTL системы/монтажа |
ttl |
string | нет | Время жизни этого токена |
type |
string | нет | Тип токена |
Ответы
200: OK
GET /auth/token/lookup
ID операции: token-look-up-2
Отображает токен и его свойства.
Ответы
200: OK
POST /auth/token/lookup
ID операции: token-look-up
Отображает токен и его свойства.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token |
string | нет | Токен для поиска (тело POST-запроса) |
Ответы
200: OK
POST /auth/token/lookup-accessor
ID операции: token-look-up-accessor
Отображает токен, связанный с данным аксессором и его свойствами. Ответ не будет содержать идентификатор токена.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor |
string | нет | Аксессор токена для поиска (тело запроса) |
Ответы
200: OK
GET /auth/token/lookup-self
ID операции: token-look-up-self
Отображает токен и его свойства.
Ответы
200: OK
POST /auth/token/lookup-self
ID операции: token-look-up-self2
Отображает токен и его свойства.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token |
string | нет | Токен для поиска (не используется, устанавливать не нужно) |
Ответы
200: OK
POST /auth/token/renew
ID операции: token-renew
Обновляет заданный токен и предотвращает истечение срока его действия.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
increment |
integer (default: 0) | нет | Желаемый интервал в секундах до истечения срока действия токена |
token |
string | нет | Токен для обновления (тело запроса) |
Ответы
200: OK
POST /auth/token/renew-accessor
ID операции: token-renew-accessor
Обновляет токен, связанный с данным аксессором и его свойствами. Ответ не будет содержать идентификатор токена.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor |
string | нет | Аксессор токена, который нужно обновить (тело запроса) |
increment |
integer (default: 0) | нет | Желаемый интервал в секундах до истечения срока действия токена |
Ответы
200: OK
POST /auth/token/renew-self
ID операции: token-renew-self
Обновляет токен, используемый для ее вызова, и предотвращает истечение срока действия.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
increment |
integer (default: 0) | нет | Желаемый интервал в секундах до истечения срока действия токена |
token |
string | нет | Токен для обновления (не используется, устанавливать не нужно) |
Ответы
200: OK
POST /auth/token/revoke
ID операции: token-revoke
Удаляет заданный токен и все его дочерние токены.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token |
string | нет | Токен для отзыва (тело запроса) |
Ответы
200: OK
POST /auth/token/revoke-accessor
ID операции: token-revoke-accessor
Удаляет токен, связанный с аксессором, и все его дочерние токены.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor |
string | нет | Аксессор токена (тело запроса) |
Ответы
200: OK
POST /auth/token/revoke-orphan
ID операции: token-revoke-orphan
Удаляет токен и осиротит его дочерние токены.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token |
string | нет | Токен для отзыва (тело запроса) |
Ответы
200: OK
POST /auth/token/revoke-self
ID операции: token-revoke-self
Удаляет токен, использованный для вызова, и все дочерние токены.
Ответы
200: OK
GET /auth/token/roles
ID операции: token-list-roles
Получает настроенные роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /auth/token/roles/{role_name}
ID операции: token-read-role
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Название роли |
Ответы
200: OK
POST /auth/token/roles/{role_name}
ID операции: token-write-role
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Название роли |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_entity_aliases |
array | нет | Строковый или JSON-список разрешенных псевдонимов сущностей. Если установлено, указывает псевдонимы сущностей, которые разрешено использовать при генерации токенов. Это поле поддерживает globbing. |
allowed_policies |
array | нет | Если этот параметр установлен, токены могут быть созданы с любым подмножеством политик из этого списка, а не с обычной семантикой, когда токены являются подмножеством политик вызывающего токена. Параметр представляет собой строку имен политик, разделенную запятыми. |
allowed_policies_glob |
array | нет | Если этот параметр установлен, токены могут быть созданы с любым подмножеством политик в этом списке, а не с обычной семантикой, когда токены являются подмножеством политик вызывающего токена. Параметр представляет собой разделенную запятыми строку глобусов имен политик. |
bound_cidrs |
array | нет | ⚠️ Устарело. Вместо этого используйте 'token_bound_cidrs'. |
disallowed_policies |
array | нет | Если установлено, для успешного создания токена с помощью этой роли потребуется, чтобы не было запрошено ни одной политики из данного списка. Параметр представляет собой строку имен политик, разделенных запятыми. |
disallowed_policies_glob |
array | нет | Если этот параметр установлен, то для успешного создания токена с помощью этой роли необходимо, чтобы ни одна из запрашиваемых политик не совпадала ни с одной из политик в этом списке. Параметр представляет собой разделенную запятыми строку глобусов имен политик. |
explicit_max_ttl |
integer | нет | ⚠️ Устарело. Вместо этого используйте 'token_explicit_max_ttl'. |
orphan |
boolean | нет | Если true, то токены, созданные с помощью этой роли, будут сиротскими (не будут иметь родителя). |
path_suffix |
string | нет | Если установлено, то токены, созданные с помощью этой роли, будут содержать указанный суффикс в качестве части своего пути. Это может быть использовано для помощи в использовании конечной точки 'revoke-prefix' в дальнейшем. Указанный суффикс должен соответствовать регулярному выражению.\w[\w-.]+\w |
period |
integer | нет | ⚠️ Устарело. Вместо этого используйте 'token_period'. |
renewable |
boolean (default: True) | нет | Токены, созданные с помощью этой роли, будут возобновляться или нет в соответствии с этим значением. По умолчанию значение равно "true". |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_no_default_policy |
boolean | нет | Если true, политика "по умолчанию" не будет автоматически добавляться к сгенерированным токенам |
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, "24 часа"). |
token_type |
string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
Ответы
200: OK
DELETE /auth/token/roles/{role_name}
ID операции: token-delete-role
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Название роли |
Ответы
204: пустое тело
POST /auth/token/tidy
ID операции: token-tidy
Запускает задачи по очистке по определенным условиям.
Ответы
200: OK
POST /auth/{approle_mount_path}/login
ID операции: app-role-login
Выдвет токена на основе предоставленных учетных данных
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
role_id |
string | нет | Уникальный идентификатор роли. Обязательно должен быть предоставлен, если установлено ограничение 'bind_secret_id'. |
secret_id |
string (default: ) | нет | SecretID принадлежит роли App |
Ответы
200: OK
GET /auth/{approle_mount_path}/role
ID операции: app-role-list-roles
Отображает все роли, зарегистрированные в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет |
GET /auth/{approle_mount_path}/role/{role_name}
ID операции: app-role-read-role
Регистрирует роль в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bind_secret_id |
boolean | нет | Установите обязательное предоставление секретного ID при входе с использованием этой роли. |
local_secret_ids |
boolean | нет | Если установлено значение true, секретные идентификаторы, созданные с использованием этой роли, будут локальными для кластера. Это можно установить только во время создания роли, и после установки изменить это значение невозможно. |
period |
integer | нет | ⚠️ Устарело. Вместо этого используйте "token_period". Если указаны и "token_period", то будет использоваться только "token_period". |
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте "token_policies". Если указаны и "token_policies", то будет использоваться только "token_policies". |
secret_id_bound_cidrs |
array | нет | Строка или список блоков CIDR, разделенных запятыми. Если установлено, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему. |
secret_id_num_uses |
integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет. |
secret_id_ttl |
integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает. |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy |
boolean | нет | Если true, политика "по умолчанию" не будет автоматически добавляться к сгенерированным токенам |
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period |
integer | нет | Если установлено, токены, созданные с помощью этой роли, не будут иметь максимального срока действия; вместо этого их срок продления будет зафиксирован на этом значении. |
token_policies |
array | нет | Список политик, разделенный запятыми |
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
token_type |
string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
POST /auth/{approle_mount_path}/role/{role_name}
ID операции: app-role-write-role
Регистрирует роль в бэкенде.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bind_secret_id |
boolean (default: True) | нет | Ввести secret_id, который должен быть представлен при входе в систему с использованием этой роли. По умолчанию имеет значение 'true'. |
bound_cidr_list |
array | нет | ⚠️ Устарело. Вместо этого используйте "secret_id_bound_cidrs". |
local_secret_ids |
boolean | нет | Если установлено, секретные идентификаторы, созданные с помощью этой роли, будут локальными для кластера. Этот параметр может быть задан только при создании роли, и после установки его нельзя сбросить. |
period |
integer | нет | ⚠️ Устарело. Вместо этого используйте "token_period". Если указаны и "token_period", то будет использоваться только "token_period". |
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте "token_policies". Если указаны и "token_policies", то будет использоваться только "token_policies". |
role_id |
string | нет | Идентификатор роли. По умолчанию это UUID. |
secret_id_bound_cidrs |
array | нет | Строка или список блоков CIDR, разделенных запятыми. Если установлено, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему. |
secret_id_num_uses |
integer | нет | Количество раз, которое SecretID может получить доступ к роли, после чего SecretID истекает. По умолчанию равно 0, что означает неограниченное использование Secret_id. |
secret_id_ttl |
integer | нет | Продолжительность в секундах, по истечении которой выданный SecretID должен истечь. По умолчанию равно 0, что означает отсутствие истечения срока действия. |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy |
boolean | нет | Если true, политика "по умолчанию" не будет автоматически добавляться к сгенерированным токенам |
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, "24 часа"). |
token_policies |
array | нет | Список политик, разделенный запятыми |
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
token_type |
string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
Ответы
200: OK
DELETE /auth/{approle_mount_path}/role/{role_name}
ID операции: app-role-delete-role
Регистрирует роль в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/bind-secret-id
ID операции: app-role-read-bind-secret-id
Указывает secret_id, который должен быть представлен при входе в систему с использованием этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bind_secret_id |
boolean | нет | Ввести secret_id, который должен быть представлен при входе в систему с использованием этой роли. По умолчанию имеет значение 'true'. |
POST /auth/{approle_mount_path}/role/{role_name}/bind-secret-id
ID операции: app-role-write-bind-secret-id
Указывает secret_id, который должен быть представлен при входе в систему с использованием этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bind_secret_id |
boolean (default: True) | нет | Указывает secret_id, который должен быть представлен при входе в систему с использованием этой роли. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/bind-secret-id
ID операции: app-role-delete-bind-secret-id
Указывает secret_id, который должен быть представлен при входе в систему с использованием этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/bound-cidr-list
ID операции: app-role-read-bound-cidr-list
Устарело: Список блоков CIDR, разделенных запятыми, если установлен указывает блоки IP-адресов, которые могут выполнять операцию входа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bound_cidr_list |
array | нет | ⚠️ Устарело. Утратил актуальность: Вместо этого используйте "secret_id_bound_cidrs". Строка или список блоков CIDR, разделенных запятыми. Если задано, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему. |
POST /auth/{approle_mount_path}/role/{role_name}/bound-cidr-list
ID операции: app-role-write-bound-cidr-list
Устарело: Список блоков CIDR, разделенных запятыми, если установлен указывает блоки IP-адресов, которые могут выполнять операцию входа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bound_cidr_list |
array | нет | Утратил актуальность: Вместо этого используйте "secret_id_bound_cidrs". Строка или список блоков CIDR, разделенных запятыми. Если задано, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/bound-cidr-list
ID операции: app-role-delete-bound-cidr-list
Устарело: Список блоков CIDR, разделенных запятыми, если установлен указывает блоки IP-адресов, которые могут выполнять операцию входа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /auth/{approle_mount_path}/role/{role_name}/custom-secret-id
ID операции: app-role-write-custom-secret-id
Назначает SecretID на выбор для этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cidr_list |
array | нет | Разделенная запятыми строка или список блоков CIDR, обеспечивающих использование секретных идентификаторов из определенного набора IP-адресов. Если для роли задан 'bound_cidr_list', то список CIDR-блоков, перечисленных здесь, должен быть подмножеством CIDR-блоков, перечисленных для роли. |
metadata |
string | нет | Метаданные, которые должны быть привязаны к SecretID. Это должна быть строка в формате JSON, содержащая метаданные в парах ключ-значение. |
num_uses |
integer | нет | Количество раз, которое может быть использован данный SecretID, после чего срок действия SecretID истекает. Переопределяет опцию роли secret_id_num_uses, если она задана. Не может быть больше, чем secret_id_num_uses роли. |
secret_id |
string | нет | Секретный идентификатор, который будет привязан к роли. |
token_bound_cidrs |
array | нет | Строка или список блоков CIDR, разделенных запятыми. Если задано, указывает блоки IP-адресов, которые могут использовать возвращенный токен. Должно быть подмножеством CIDR-блоков токена, перечисленных в роли, если таковые имеются. |
ttl |
integer | нет | Продолжительность в секундах, после которой истекает срок действия данного SecretID. Переопределяет опцию роли secret_id_ttl, если она задана. Не может быть больше, чем secret_id_ttl роли. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id |
string | нет | Секретный идентификатор, прикрепленный к роли. |
secret_id_accessor |
string | нет | Индентефикатор секретного ID |
secret_id_num_uses |
integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет. |
secret_id_ttl |
integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает. |
GET /auth/{approle_mount_path}/role/{role_name}/local-secret-ids
ID операции: app-role-read-local-secret-ids
Позволяет создавать локальные секретные идентификаторы кластера
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
local_secret_ids |
boolean | нет | Если установлено значение true, секретные идентификаторы, созданные с использованием этой роли, будут локальными для кластера. Это можно установить только во время создания роли, и после установки изменить это значение невозможно. |
GET /auth/{approle_mount_path}/role/{role_name}/period
ID операции: app-role-read-period
Обновляет значение 'period' в роли
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
period |
integer | нет | ⚠️ Устарело. Вместо этого используйте "token_period". Если указаны и "token_period", то будет использоваться только "token_period". |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, "24 часа"). |
POST /auth/{approle_mount_path}/role/{role_name}/period
ID операции: app-role-write-period
Обновляет значение 'period' в роли
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
period |
integer | нет | ⚠️ Устарело. Вместо этого используйте "token_period". Если указаны и "token_period", то будет использоваться только "token_period". |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, "24 часа"). |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/period
ID операции: app-role-delete-period
Обновляет значение 'period' в роли
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/policies
ID операции: app-role-read-policies
Назначает политику роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте "token_policies". Если указаны и "token_policies", то будет использоваться только "token_policies". |
token_policies |
array | нет | Список политик, разделенный запятыми |
POST /auth/{approle_mount_path}/role/{role_name}/policies
ID операции: app-role-write-policies
Назначает политику роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте "token_policies". Если указаны и "token_policies", то будет использоваться только "token_policies". |
token_policies |
array | нет | Список политик, разделенный запятыми |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/policies
ID операции: app-role-delete-policies
Назначает политику роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/role-id
ID операции: app-role-read-role-id
Возвращает 'role_id' роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
role_id |
string | нет | Идентификатор роли. По умолчанию это UUID. |
POST /auth/{approle_mount_path}/role/{role_name}/role-id
ID операции: app-role-write-role-id
Возвращает 'role_id' роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
role_id |
string | нет | Идентификатор роли. По умолчанию это UUID. |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/secret-id
ID операции: app-role-list-secret-ids
Управляет SecretID для этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id
ID операции: app-role-write-secret-id
Управляет SecretID для этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cidr_list |
array | нет | Разделенная запятыми строка или список блоков CIDR, обеспечивающих использование секретных идентификаторов из определенного набора IP-адресов. Если для роли задан 'bound_cidr_list', то список CIDR-блоков, перечисленных здесь, должен быть подмножеством CIDR-блоков, перечисленных для роли. |
metadata |
string | нет | Метаданные, которые должны быть привязаны к SecretID. Это должна быть строка в формате JSON, содержащая метаданные в парах ключ-значение. |
num_uses |
integer | нет | Количество раз, которое может быть использован данный SecretID, после чего срок действия SecretID истекает. Переопределяет опцию роли secret_id_num_uses, если она задана. Не может быть больше, чем secret_id_num_uses роли. |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
ttl |
integer | нет | Продолжительность в секундах, после которой истекает срок действия данного SecretID. Переопределяет опцию роли secret_id_ttl, если она задана. Не может быть больше, чем secret_id_ttl роли. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id |
string | нет | Секретный идентификатор, прикрепленный к роли. |
secret_id_accessor |
string | нет | Индентефикатор секретного ID |
secret_id_num_uses |
integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет. |
secret_id_ttl |
integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает. |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-accessor/destroy
ID операции: app-role-destroy-secret-id-by-accessor
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_accessor |
string | нет | Аксессор SecretID |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id-accessor/destroy
ID операции: app-role-destroy-secret-id-by-accessor2
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-accessor/lookup
ID операции: app-role-look-up-secret-id-by-accessor
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_accessor |
string | нет | Аксессор SecretID |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cidr_list |
array | нет | Список блоков CIDR, требующих использования секретных ID из определенного набора IP-адресов. Если 'bound_cidr_list' установлен на роли, то список блоков CIDR, указанных здесь, должен быть подмножеством блоков CIDR, указанных на роли. |
creation_time |
string | нет | |
expiration_time |
string | нет | |
last_updated_time |
string | нет | |
metadata |
object | нет | |
secret_id_accessor |
string | нет | Индентефикатор секретного ID |
secret_id_num_uses |
integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет. |
secret_id_ttl |
integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает. |
token_bound_cidrs |
array | нет | Список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен. Должен быть подмножеством блоков CIDR токена, указанных на роли, если таковые имеются. |
GET /auth/{approle_mount_path}/role/{role_name}/secret-id-bound-cidrs
ID операции: app-role-read-secret-id-bound-cidrs
Список блоков CIDR, разделенных запятыми, если установлен, указывает блоки IP-адресов, которые могут выполнять операцию входа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_bound_cidrs |
array | нет | Строка или список блоков CIDR, разделенных запятыми. Если установлено, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему. |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-bound-cidrs
ID операции: app-role-write-secret-id-bound-cidrs
Список блоков CIDR, разделенных запятыми, если установлен, указывает блоки IP-адресов, которые могут выполнять операцию входа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_bound_cidrs |
array | нет | Строка или список блоков CIDR, разделенных запятыми. Если установлено, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id-bound-cidrs
ID операции: app-role-delete-secret-id-bound-cidrs
Список блоков CIDR, разделенных запятыми, если установлен, указывает блоки IP-адресов, которые могут выполнять операцию входа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/secret-id-num-uses
ID операции: app-role-read-secret-id-num-uses
Управляет лимитом использования SecretID, созданного для роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_num_uses |
integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет. По умолчанию 0 означает, что секретный идентификатор используется неограниченно. |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-num-uses
ID операции: app-role-write-secret-id-num-uses
Управляет лимитом использования SecretID, созданного для роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_num_uses |
integer | нет | Управляет количеством раз, когда секретный идентификатор может получить доступ к роли, после чего срок действия секретного идентификатора истекает. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id-num-uses
ID операции: app-role-delete-secret-id-num-uses
Управляет лимитом использования SecretID, созданного для роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/secret-id-ttl
ID операции: app-role-read-secret-id-ttl
Управляет продолжительностью в секундах SecretID, сгенерированного против роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_ttl |
integer | нет | Продолжительность в секундах после которой выданный секретный ID должен истечь. По умолчанию 0 означает отсутствие срока действия. |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-ttl
ID операции: app-role-write-secret-id-ttl
Управляет продолжительностью в секундах SecretID, сгенерированного против роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_ttl |
integer | нет | Продолжительность в секундах, по истечении которой выданный SecretID должен истечь. По умолчанию равно 0, что означает отсутствие истечения срока действия. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id-ttl
ID операции: app-role-delete-secret-id-ttl
Управляет продолжительностью в секундах SecretID, сгенерированного против роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /auth/{approle_mount_path}/role/{role_name}/secret-id/destroy
ID операции: app-role-destroy-secret-id
Управляет аннулированием выданного secret_id
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id |
string | нет | Секретный идентификатор, прикрепленный к роли. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id/destroy
ID операции: app-role-destroy-secret-id2
Управляет аннулированием выданного secret_id
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /auth/{approle_mount_path}/role/{role_name}/secret-id/lookup
ID операции: app-role-look-up-secret-id
Чтение свойств выданного secret_id
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id |
string | нет | Секретный идентификатор, прикрепленный к роли. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cidr_list |
array | нет | Список блоков CIDR, требующих использования секретных ID из определенного набора IP-адресов. Если 'bound_cidr_list' установлен на роли, то список блоков CIDR, указанных здесь, должен быть подмножеством блоков CIDR, указанных на роли. |
creation_time |
string | нет | |
expiration_time |
string | нет | |
last_updated_time |
string | нет | |
metadata |
object | нет | |
secret_id_accessor |
string | нет | Индентефикатор секретного ID |
secret_id_num_uses |
integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет. |
secret_id_ttl |
integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает. |
token_bound_cidrs |
array | нет | Список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен. Должен быть подмножеством блоков CIDR токена, указанных на роли, если таковые имеются. |
GET /auth/{approle_mount_path}/role/{role_name}/token-bound-cidrs
ID операции: app-role-read-token-bound-cidrs
Строка, разделенная запятыми, или список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_bound_cidrs |
array | нет | Строка или список блоков CIDR, разделенных запятыми. Если задано, указывает блоки IP-адресов, которые могут использовать возвращенный токен. Должно быть подмножеством CIDR-блоков токена, перечисленных в роли, если таковые имеются. |
POST /auth/{approle_mount_path}/role/{role_name}/token-bound-cidrs
ID операции: app-role-write-token-bound-cidrs
Строка, разделенная запятыми, или список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/token-bound-cidrs
ID операции: app-role-delete-token-bound-cidrs
Строка, разделенная запятыми, или список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/token-max-ttl
ID операции: app-role-read-token-max-ttl
Продолжительность в секундах - максимальный срок действия токенов, выданных с использованием SecretIDs, сгенерированных против этой роли, после которого токены не разрешается возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
POST /auth/{approle_mount_path}/role/{role_name}/token-max-ttl
ID операции: app-role-write-token-max-ttl
Продолжительность в секундах - максимальный срок действия токенов, выданных с использованием SecretIDs, сгенерированных против этой роли, после которого токены не разрешается возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/token-max-ttl
ID операции: app-role-delete-token-max-ttl
Продолжительность в секундах - максимальный срок действия токенов, выданных с использованием SecretIDs, сгенерированных против этой роли, после которого токены не разрешается возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/token-num-uses
ID операции: app-role-read-token-num-uses
Управляет количеством раз, когда выпущенные токены могут быть использованы
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
POST /auth/{approle_mount_path}/role/{role_name}/token-num-uses
ID операции: app-role-write-token-num-uses
Управляет количеством раз, когда выпущенные токены могут быть использованы
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/token-num-uses
ID операции: app-role-delete-token-num-uses
Управляет количеством раз, когда выпущенные токены могут быть использованы
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/token-ttl
ID операции: app-role-read-token-ttl
Продолжительность в секундах - срок действия токена, выданного с использованием SecretID, сгенерированного против этой роли, до истечения срока действия токена, который нужно возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
POST /auth/{approle_mount_path}/role/{role_name}/token-ttl
ID операции: app-role-write-token-ttl
Продолжительность в секундах - срок действия токена, выданного с использованием SecretID, сгенерированного против этой роли, до истечения срока действия токена, который нужно возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/token-ttl
ID операции: app-role-delete-token-ttl
Продолжительность в секундах - срок действия токена, выданного с использованием SecretID, сгенерированного против этой роли, до истечения срока действия токена, который нужно возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name |
string | path | да | Имя роли. Должно быть меньше 4096 байт. |
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /auth/{approle_mount_path}/tidy/secret-id
ID операции: app-role-tidy-secret-id
Инициировать очистку истекших записей SecretID.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
approle_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
202: Принято
GET /auth/{jwt_mount_path}/config
ID операции: jwt-read-configuration
Прочитайте текущую конфигурацию бэкенда аутентификации JWT.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{jwt_mount_path}/config
ID операции: jwt-configure
Настроить настройку бэкенда аутентификации JWT.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bound_issuer |
string | нет | Значение, с которым следует сопоставить утверждение 'iss' в JWT. Необязательно. |
default_role |
string | нет | Роль по умолчанию, используемая, если при входе в систему не указана ни одна из ролей. Если значение не задано, при входе в систему требуется указать роль. |
jwks_ca_pem |
string | нет | Сертификат ЦС или цепочка сертификатов в формате PEM для проверки соединений с URL JWKS. Если значение не задано, используются системные сертификаты. |
jwks_pairs |
array | нет | Набор пар JWKS Url и сертификата ЦС (или цепочки сертификатов). Сертификаты ЦС должны быть в формате PEM. Не может быть использован с "jwks_url" или "jwks_ca_pem". |
jwks_url |
string | нет | URL-адрес JWKS для аутентификации подписей. Не может использоваться с "oidc_discovery_url" или "jwt_validation_pubkeys". |
jwt_supported_algs |
array | нет | Список поддерживаемых алгоритмов подписи. По умолчанию используется RS256. |
jwt_validation_pubkeys |
array | нет | Список открытых ключей в кодировке PEM для локальной аутентификации подписей. Не может использоваться с "jwks_url" или "oidc_discovery_url". |
namespace_in_state |
boolean | нет | Передавать пространство имен в параметре состояния OIDC, а не как отдельный параметр запроса. При этой настройке разрешенные URL-адреса перенаправления в Vault и на стороне провайдера не должны содержать параметр запроса пространства имен. Это означает, что на стороне провайдера необходимо поддерживать только одну запись URL перенаправления для всех пространств имен хранилища, которые будут проходить аутентификацию. По умолчанию имеет значение true для новых конфигураций. |
oidc_client_id |
string | нет | Идентификатор клиента OAuth, настроенный провайдером OIDC. |
oidc_client_secret |
string | нет | Секрет клиента OAuth, настроенный провайдером OIDC. |
oidc_discovery_ca_pem |
string | нет | Сертификат ЦС или цепочка сертификатов в формате PEM, используемые для проверки соединений с URL-адресом OIDC Discovery. Если значение не задано, используются системные сертификаты. |
oidc_discovery_url |
string | нет | URL-адрес OIDC Discovery, без компонента .well-known (базовый путь). Не может использоваться с "jwks_url" или "jwt_validation_pubkeys". |
oidc_response_mode |
string | нет | Режим ответа, который будет использоваться в запросе OAuth2. Допустимые значения: 'query' и 'form_post'. |
oidc_response_types |
array | нет | Типы ответов для запроса. Допустимые значения: 'code' и 'id_token'. По умолчанию используется значение 'code'. |
provider_config |
object | нет | Конфигурация для конкретного поставщика. Необязательно. |
unsupported_critical_cert_extensions |
array | нет | Список ASN1 OID расширений сертификата с пометкой Critical, которые не поддерживаются Vault и должны быть проигнорированы. Эта опция нужна очень редко, только в специализированных средах PKI. |
Ответы
200: OK
POST /auth/{jwt_mount_path}/login
ID операции: jwt-login
Аутентифицирует в Vault с использованием JWT (или OIDC) токена.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
distributed_claim_access_token |
string | нет | Необязательный токен, используемый для получения членства в группах, указанных в распределенном источнике утверждений в jwt. Поддерживается только для Azure/Entra ID |
jwt |
string | нет | Подписанный JWT для проверки. |
role |
string | нет | Роль, под которой нужно войти в систему. |
Ответы
200: OK
POST /auth/{jwt_mount_path}/oidc/auth_url
ID операции: jwt-oidc-request-authorization-url
Запросите URL авторизации для начала процесса входа OIDC.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
client_nonce |
string | нет | Необязательный нонс, предоставленный клиентом, который должен совпадать во время обратного вызова, если он присутствует. |
redirect_uri |
string | нет | OAuth redirect_uri для использования в URL авторизации. |
role |
string | нет | Роль для выдачи URL-адреса авторизации OIDC. |
Ответы
200: OK
GET /auth/{jwt_mount_path}/oidc/callback
ID операции: jwt-oidc-callback
Конечная точка обратного вызова для завершения входа в OIDC.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
client_nonce |
string | query | нет | |
code |
string | query | нет | |
state |
string | query | нет | |
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{jwt_mount_path}/oidc/callback
ID операции: jwt-oidc-callback-form-post
Метод обратного вызова для обработки form_posts.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
client_nonce |
string | query | нет | |
code |
string | query | нет | |
state |
string | query | нет | |
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
id_token |
string | нет |
Ответы
200: OK
GET /auth/{jwt_mount_path}/role
ID операции: jwt-list-roles
Отображает все роли, зарегистрированные в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /auth/{jwt_mount_path}/role/{name}
ID операции: jwt-read-role
Считывает существующую роль.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{jwt_mount_path}/role/{name}
ID операции: jwt-write-role
Регистрирует роль в бэкенде.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_redirect_uris |
array | нет | Список допустимых значений для redirect_uri, разделенный запятыми |
bound_audiences |
array | нет | Список утверждений 'aud', разделённых запятыми, которые действительны для входа. Достаточно любого совпадения. |
bound_cidrs |
array | нет | ⚠️ Устарело. Вместо этого используйте "token_bound_cidrs". Если указаны и "token_bound_cidrs", то будет использоваться только "token_bound_cidrs". |
bound_claims |
object | нет | Список утверждений и соответствующих значений, которые должны совпадать для входа в систему |
bound_claims_type |
string (default: string) | нет | Как интерпретировать значения в карте утверждений/значений (которые должны совпадать для входа в систему): допустимые значения - 'string' или 'glob' |
bound_subject |
string | нет | Утверждение "sub", действительное для входа в систему. Необязательно. |
claim_mappings |
object | нет | Сопоставление утверждений (ключ), которые будут скопированы в поле метаданных (значение) |
clock_skew_leeway |
integer (default: 60000000000) | нет | Продолжительность в секундах свободы действий при проверке всех заявлений для учета перекоса часов. По умолчанию равна 60 (1 минута), если установлено значение 0, и может быть отключена, если установлено значение -1. |
expiration_leeway |
integer (default: 150) | нет | Продолжительность в секундах свободы действий при проверке истечения срока действия токена для учета перекоса часов. По умолчанию равна 150 (2,5 минуты), если установлено значение 0, и может быть отключена, если установлено значение -1. |
groups_claim |
string | нет | Утверждение, используемое для имен псевдонимов групп идентификации |
max_age |
integer | нет | Указывает допустимое время в секундах, прошедшее с момента последней активной аутентификации пользователя. |
max_ttl |
integer | нет | ⚠️ Устарело. Вместо этого используйте "token_max_ttl". Если указаны и "token_max_ttl", то будет использоваться только "token_max_ttl". |
not_before_leeway |
integer (default: 150) | нет | Длительность в секундах свободы действий при проверке значений токена "не раньше" для учета перекоса часов. По умолчанию равна 150 (2,5 минуты), если установлено значение 0, и может быть отключена, если установлено значение -1. |
num_uses |
integer | нет | ⚠️ Устарело. Вместо этого используйте "token_num_uses". Если указаны и "token_num_uses", то будет использоваться только "token_num_uses". |
oidc_scopes |
array | нет | Список областей OIDC, разделенный запятыми |
period |
integer | нет | ⚠️ Устарело. Вместо этого используйте "token_period". Если указаны и "token_period", то будет использоваться только "token_period". |
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте "token_policies". Если указаны и "token_policies", то будет использоваться только "token_policies". |
role_type |
string | нет | Тип роли, либо 'jwt', либо 'oidc'. |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy |
boolean | нет | Если true, политика "по умолчанию" не будет автоматически добавляться к сгенерированным токенам |
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, "24 часа"). |
token_policies |
array | нет | Список политик, разделенный запятыми |
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
token_type |
string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
ttl |
integer | нет | ⚠️ Устарело. Вместо этого используйте "token_ttl". Если указаны и "token_ttl", и "token_ttl", будет использоваться только "token_ttl". |
user_claim |
string | нет | Утверждение, используемое для имени псевдонима объекта идентификации |
user_claim_json_pointer |
boolean | нет | Если значение user_claim равно true, то для ссылок на формулы будет использоваться синтаксис указателей JSON. |
verbose_oidc_logging |
boolean | нет | Ведите журнал полученных токенов и утверждений OIDC, если активна запись в журнал на уровне отладки. Не рекомендуется использовать в производстве, поскольку в ответах OIDC может содержаться конфиденциальная информация. |
Ответы
200: OK
DELETE /auth/{jwt_mount_path}/role/{name}
ID операции: jwt-delete-role
Удаляет существующую роль.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
jwt_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /auth/{kubernetes_mount_path}/config
ID операции: kubernetes-read-auth-configuration
Настраивает открытый ключ JWT и информацию о Kubernetes API.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{kubernetes_mount_path}/config
ID операции: kubernetes-configure-auth
Настраивает открытый ключ JWT и информацию о Kubernetes API.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disable_iss_validation |
boolean (default: True) | нет | ⚠️ Устарело. Отключить проверку эмитента JWT (устарело, будет удалено в будущем выпуске) |
disable_local_ca_jwt |
boolean (default: False) | нет | Отключение использования по умолчанию локального сертификата CA и JWT учетной записи службы при запуске в стручке Kubernetes |
issuer |
string | нет | ⚠️ Устарело. Необязательный эмитент JWT. Если эмитент не указан, то этот плагин будет использовать kubernetes.io/serviceaccount в качестве эмитента по умолчанию. (Утратил актуальность, будет удален в будущем выпуске) |
kubernetes_ca_cert |
string | нет | Необязательный сертификат CA в PEM-кодировке для использования TLS-клиентом, используемым для взаимодействия с API. Если он не задан и значение disable_local_ca_jwt равно true, будет использоваться пул сертификатов доверенного ЦС системы. |
kubernetes_host |
string | нет | Host должен быть строкой хоста, парой хост:порт или URL-адресом базы сервера Kubernetes API. |
pem_keys |
array | нет | Необязательный список открытых ключей или сертификатов в PEM-формате, используемых для проверки подписей JWT-файлов учетных записей сервисов kubernetes. Если указан сертификат, будет извлечен его открытый ключ. Не каждая установка Kubernetes раскрывает эти ключи. |
token_reviewer_jwt |
string | нет | JWT учетной записи сервиса (или другой токен), используемый в качестве токена на предъявителя для доступа к API TokenReview для проверки других JWT при входе в систему. Если не задано, то для доступа к API будет использоваться JWT, используемый для входа в систему. |
use_annotations_as_alias_metadata |
boolean (default: False) | нет | Использование аннотаций из связанной с клиентским токеном учетной записи службы в качестве метаданных псевдонимов для сущности Vault. Будут использоваться только аннотации с префиксом "vault.hashicorp.com/alias-metadata-". Обратите внимание, что Vault потребуется разрешение на чтение учетных записей сервисов из Kubernetes API. |
Ответы
200: OK
POST /auth/{kubernetes_mount_path}/login
ID операции: kubernetes-login
Аутентифицирует учетные записи службы Kubernetes с Vault.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
jwt |
string | нет | Подписанный JWT для проверки подлинности учетной записи службы. Это поле является обязательным. |
role |
string | нет | Имя роли, против которой осуществляется попытка входа. Это поле является обязательным |
Ответы
200: OK
GET /auth/{kubernetes_mount_path}/role
ID операции: kubernetes-list-auth-roles
Отображает все роли, зарегистрированные в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /auth/{kubernetes_mount_path}/role/{name}
ID операции: kubernetes-read-auth-role
Регистрирует роль в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{kubernetes_mount_path}/role/{name}
ID операции: kubernetes-write-auth-role
Регистрирует роль в бэкенде.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alias_name_source |
string (default: serviceaccount_uid) | нет | Источник, который следует использовать при выведении имени псевдонима. допустимые варианты: "serviceaccount_uid" : |
audience |
string | нет | Необязательное утверждение Аудитория для проверки в jwt. |
bound_cidrs |
array | нет | ⚠️ Устарело. Вместо этого используйте "token_bound_cidrs". Если указаны и "token_bound_cidrs", то будет использоваться только "token_bound_cidrs". |
bound_service_account_names |
array | нет | Список имен учетных записей служб, имеющих доступ к этой роли. Если установлено значение "*", разрешены все имена. |
bound_service_account_namespace_selector |
string | нет | Селектор меток для пространств имен Kubernetes, которым разрешен доступ к этой роли. Принимает объект в формате JSON или YAML. Если задано вместе с bound_service_account_namespaces, условия объединяются. |
bound_service_account_namespaces |
array | нет | Список пространств имен, разрешенных для доступа к этой роли. Если установлено значение "*", разрешены все пространства имен. |
max_ttl |
integer | нет | ⚠️ Устарело. Вместо этого используйте "token_max_ttl". Если указаны и "token_max_ttl", то будет использоваться только "token_max_ttl". |
num_uses |
integer | нет | ⚠️ Устарело. Вместо этого используйте "token_num_uses". Если указаны и "token_num_uses", то будет использоваться только "token_num_uses". |
period |
integer | нет | ⚠️ Устарело. Вместо этого используйте "token_period". Если указаны и "token_period", то будет использоваться только "token_period". |
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте "token_policies". Если указаны и "token_policies", то будет использоваться только "token_policies". |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy |
boolean | нет | Если true, политика "по умолчанию" не будет автоматически добавляться к сгенерированным токенам |
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, "24 часа"). |
token_policies |
array | нет | Список политик, разделенный запятыми |
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
token_type |
string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
ttl |
integer | нет | ⚠️ Устарело. Вместо этого используйте "token_ttl". Если указаны и "token_ttl", и "token_ttl", будет использоваться только "token_ttl". |
Ответы
200: OK
DELETE /auth/{kubernetes_mount_path}/role/{name}
ID операции: kubernetes-delete-auth-role
Регистрирует роль в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /auth/{ldap_mount_path}/config
ID операции: ldap-read-auth-configuration
Настроить LDAP сервер для подключения, вместе с его параметрами.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{ldap_mount_path}/config
ID операции: ldap-configure-auth
Настроить LDAP сервер для подключения, вместе с его параметрами.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
anonymous_group_search |
boolean (default: False) | нет | Использовать анонимные привязки при поиске групп LDAP (если true, то исходные учетные данные все равно будут использоваться для первоначальной проверки соединения). |
binddn |
string | нет | LDAP DN для поиска DN пользователя (необязательно) |
bindpass |
string | нет | Пароль LDAP для поиска DN пользователя (необязательно) |
case_sensitive_names |
boolean | нет | Если значение равно true, то при сравнении имен пользователей и групп для сопоставления политик будет использоваться чувствительность к регистру. |
certificate |
string | нет | Сертификат CA для использования при проверке сертификата сервера LDAP, должен быть в кодировке x509 PEM (необязательно) |
client_tls_cert |
string | нет | Сертификат клиента для предоставления серверу LDAP, должен быть закодирован x509 PEM (необязательно) |
client_tls_key |
string | нет | Ключ сертификата клиента для предоставления серверу LDAP, должен быть закодирован x509 PEM (необязательно) |
connection_timeout |
integer (default: 30s) | нет | Тайм-аут (в секундах) при попытке подключения к серверу LDAP перед попыткой перехода к следующему URL-адресу в конфигурации. |
deny_null_bind |
boolean (default: True) | нет | Отклоняет неаутентифицированный запрос привязки LDAP, если пароль пользователя пуст; значение по умолчанию равно true |
dereference_aliases |
string (never, finding, searching, always) (default: never) | нет | Когда псевдонимы должны разыменовываться при операциях поиска. Принимаемые значения: 'никогда', 'находить', 'искать', 'всегда'. По умолчанию установлено значение 'никогда'. |
discoverdn |
boolean | нет | Используйте анонимную привязку, чтобы узнать привязочный DN пользователя (необязательно). |
groupattr |
string (default: cn) | нет | Атрибут LDAP, который следует использовать для объектов, возвращаемых |
groupdn |
string | нет | База поиска LDAP, используемая для поиска членства в группе (например: ou=Groups,dc=example,dc=org) |
groupfilter |
string (default: ( | (memberUid={{.Username}})(member={{.UserDN}})(uniqueMember={{.UserDN}}))) | нет |
insecure_tls |
boolean | нет | Пропустите проверку SSL-сертификата сервера LDAP - ОЧЕНЬ небезопасно (необязательно) |
max_page_size |
integer (default: 0) | нет | Если установлено значение больше 0, бэкэнд LDAP будет использовать управление постраничным поиском сервера LDAP для запроса страниц до заданного размера. Это можно использовать, чтобы избежать столкновения с ограничением максимального размера результатов сервера LDAP. В противном случае бэкэнд LDAP не будет использовать управление постраничным поиском. |
request_timeout |
integer (default: 90s) | нет | Таймаут в секундах для соединения при выполнении запросов к серверу до возврата ошибки. |
starttls |
boolean | нет | Выполнять команду StartTLS после установления незашифрованного соединения (необязательно). |
tls_max_version |
string (tls10, tls11, tls12, tls13) (default: tls12) | нет | Максимальная версия TLS для использования. Принимаемые значения: 'tls10', 'tls11', 'tls12' или 'tls13'. По умолчанию - 'tls12' |
tls_min_version |
string (tls10, tls11, tls12, tls13) (default: tls12) | нет | Минимальная версия TLS для использования. Принимаемые значения: 'tls10', 'tls11', 'tls12' или 'tls13'. По умолчанию используется значение 'tls12'. |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy |
boolean | нет | Если true, политика "по умолчанию" не будет автоматически добавляться к сгенерированным токенам |
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, "24 часа"). |
token_policies |
array | нет | Список политик, разделенный запятыми. Она будет применяться ко всем токенам, сгенерированным этим методом аутентификации, в дополнение к любым, настроенным для определенных пользователей/групп. |
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
token_type |
string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
upndomain |
string | нет | Разрешает пользователюПринципалДомена входить в систему с [именем пользователя]@UPNDomain (необязательно). |
url |
string (default: ldap://127.0.0.1) | нет | URL-адрес LDAP для подключения (по умолчанию: ldap://127.0.0.1). Можно указать несколько URL-адресов, соединив их запятыми; они будут опробованы в порядке убывания. |
use_pre111_group_cn_behavior |
boolean | нет | В Vault 1.1.1 исправление для обработки значений CN групп в разных случаях, к сожалению, внесло регрессию, которая могла привести к тому, что ранее определенные группы не были найдены из-за изменения результирующего имени. Если установлено значение true, будет использоваться поведение, существовавшее до версии 1.1.1, для соответствия CN групп. Это необходимо только в некоторых сценариях обновления для обратной совместимости. Она включается по умолчанию, если конфигурация обновляется, но отключается по умолчанию в новых конфигурациях. |
use_token_groups |
boolean (default: False) | нет | Если значение true, то для поиска членов групп используется построенный атрибут Active Directory tokenGroups пользователя. При этом будут найдены все группы безопасности, включая вложенные. |
userattr |
string (default: cn) | нет | Атрибут, используемый для пользователей (по умолчанию: cn) |
userdn |
string | нет | Домен LDAP, который будет использоваться для пользователей (например: ou=People,dc=example,dc=org) |
userfilter |
string (default: ({{.UserAttr}}={{.Username}})) | нет | Шаблон Go для фильтра поиска пользователей LDAP (необязательно) Шаблон может обращаться к следующим контекстным переменным: UserAttr, Username По умолчанию: ({{.UserAttr}}={{.Username}}) |
username_as_alias |
boolean (default: False) | нет | Если true, устанавливает имя псевдонима на имя пользователя |
Ответы
200: OK
GET /auth/{ldap_mount_path}/groups
ID операции: ldap-list-groups
Управляйте дополнительными группами пользователей, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /auth/{ldap_mount_path}/groups/{name}
ID операции: ldap-read-group
Управляйте дополнительными группами пользователей, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя группы LDAP. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{ldap_mount_path}/groups/{name}
ID операции: ldap-write-group
Управляйте дополнительными группами пользователей, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя группы LDAP. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policies |
array | нет | Список политик, связанных с группой, разделенный запятыми. |
Ответы
200: OK
DELETE /auth/{ldap_mount_path}/groups/{name}
ID операции: ldap-delete-group
Управляйте дополнительными группами пользователей, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя группы LDAP. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /auth/{ldap_mount_path}/login/{username}
ID операции: ldap-login
Войдите в систему, введя имя пользователя и пароль.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username |
string | path | да | DN (отличительное имя), которое будет использоваться для входа в систему. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
password |
string | нет | Пароль для этого пользователя. |
Ответы
200: OK
GET /auth/{ldap_mount_path}/users
ID операции: ldap-list-users
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /auth/{ldap_mount_path}/users/{name}
ID операции: ldap-read-user
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя пользователя LDAP. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{ldap_mount_path}/users/{name}
ID операции: ldap-write-user
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя пользователя LDAP. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
groups |
array | нет | Список дополнительных групп, связанных с пользователем, разделенный запятыми. |
policies |
array | нет | Список политик, связанных с пользователем, разделенный запятыми. |
Ответы
200: OK
DELETE /auth/{ldap_mount_path}/users/{name}
ID операции: ldap-delete-user
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя пользователя LDAP. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /auth/{userpass_mount_path}/login/{username}
ID операции: userpass-login
Войдите в систему, введя имя пользователя и пароль.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username |
string | path | да | Имя пользователя. |
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
password |
string | нет | Пароль для этого пользователя. |
Ответы
200: OK
POST /auth/{userpass_mount_path}/password_policy/{policy_name}
ID операции: userpass-update-policies_password
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
policy_name |
string | path | да | Имя пароля политики для userpass. |
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /auth/{userpass_mount_path}/users
ID операции: userpass-list-users
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /auth/{userpass_mount_path}/users/{username}
ID операции: userpass-read-user
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username |
string | path | да | Имя пользователя для этого пользователя. |
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{userpass_mount_path}/users/{username}
ID операции: userpass-write-user
Управление пользователями, которым разрешена аутентификация.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username |
string | path | да | Имя пользователя для этого пользователя. |
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bound_cidrs |
array | нет | ⚠️ Устарело. Вместо этого используйте "token_bound_cidrs". Если указаны и "token_bound_cidrs", то будет использоваться только "token_bound_cidrs". |
max_ttl |
integer | нет | ⚠️ Устарело. Вместо этого используйте "token_max_ttl". Если указаны и "token_max_ttl", то будет использоваться только "token_max_ttl". |
password |
string | нет | Пароль для этого пользователя. |
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте "token_policies". Если указаны и "token_policies", то будет использоваться только "token_policies". |
token_bound_cidrs |
array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_max_ttl |
integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy |
boolean | нет | Если true, политика "по умолчанию" не будет автоматически добавляться к сгенерированным токенам |
token_num_uses |
integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period |
integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, "24 часа"). |
token_policies |
array | нет | Список политик, разделенный запятыми |
token_ttl |
integer | нет | Начальный ttl генерируемого токена |
token_type |
string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
ttl |
integer | нет | ⚠️ Устарело. Вместо этого используйте "token_ttl". Если указаны и "token_ttl", и "token_ttl", будет использоваться только "token_ttl". |
Ответы
200: OK
DELETE /auth/{userpass_mount_path}/users/{username}
ID операции: userpass-delete-user
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username |
string | path | да | Имя пользователя для этого пользователя. |
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /auth/{userpass_mount_path}/users/{username}/password
ID операции: userpass-reset-password
Сброс пароля пользователя.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username |
string | path | да | Имя пользователя для этого пользователя. |
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
password |
string | нет | Пароль для этого пользователя. |
Ответы
200: OK
POST /auth/{userpass_mount_path}/users/{username}/policies
ID операции: userpass-update-policies
Обновляет политики, связанные с именем пользователя.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username |
string | path | да | Имя пользователя для этого пользователя. |
userpass_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policies |
array | нет | ⚠️ Устарело. Вместо этого используйте "token_policies". Если указаны и "token_policies", то будет использоваться только "token_policies". |
token_policies |
array | нет | Список политик, разделенный запятыми |
Ответы
200: OK
identity
POST /identity/alias
ID операции: alias-create
Создайте новый псевдоним.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
canonical_id |
string | нет | Идентификатор сущности, которой принадлежит этот псевдоним |
entity_id |
string | нет | Идентификатор сущности, которой принадлежит этот псевдоним. Это поле устарело в пользу 'canonical_id'. |
id |
string | нет | Идентификатор псевдонима |
mount_accessor |
string | нет | Аксессор горы, к которому принадлежит этот псевдоним |
name |
string | нет | Имя псевдонима |
Ответы
200: OK
GET /identity/alias/id
ID операции: alias-list-by-id
Список всех идентификаторов псевдонимов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/alias/id/{id}
ID операции: alias-read-by-id
Обновить, прочитать или удалить идентификатор псевдонима.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор псевдонима |
Ответы
200: OK
POST /identity/alias/id/{id}
ID операции: alias-update-by-id
Обновить, прочитать или удалить идентификатор псевдонима.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор псевдонима |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
canonical_id |
string | нет | Идентификатор сущности, к которой должен быть привязан этот псевдоним |
entity_id |
string | нет | Идентификатор сущности, к которой должен быть привязан этот псевдоним. Это поле устарело в пользу 'canonical_id'. |
mount_accessor |
string | нет | Аксессор горы, к которому принадлежит этот псевдоним |
name |
string | нет | Имя псевдонима |
Ответы
200: OK
DELETE /identity/alias/id/{id}
ID операции: alias-delete-by-id
Обновить, прочитать или удалить идентификатор псевдонима.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор псевдонима |
Ответы
204: пустое тело
POST /identity/entity
ID операции: entity-create
Создайте новую сущность
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disabled |
boolean | нет | Если установлено значение true, то токены, привязанные к этой идентификации, не смогут быть использованы (но не будут отозваны). |
id |
string | нет | Идентификатор сущности. Если установлен, обновляет соответствующую существующую сущность. |
metadata |
object | нет | Метаданные, которые должны быть связаны с сущностью. В CLI этот параметр может повторяться несколько раз, и все они будут объединены вместе. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
name |
string | нет | Название организации |
policies |
array | нет | Политики должны быть привязаны к организации. |
Ответы
200: OK
POST /identity/entity-alias
ID операции: entity-create-alias
Создайте новый псевдоним.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
canonical_id |
string | нет | Идентификатор сущности, которой принадлежит этот псевдоним |
custom_metadata |
object | нет | Предоставленные пользователем пары ключ-значение |
entity_id |
string | нет | Идентификатор сущности, которой принадлежит этот псевдоним. Это поле устарело, используйте canonical_id. |
id |
string | нет | Идентификатор псевдонима сущности. Если установлен, обновляет соответствующий псевдоним сущности. |
mount_accessor |
string | нет | Аксессор горы, к которому принадлежит этот псевдоним; не используется для модификации |
name |
string | нет | Имя псевдонима; не используется для модификации |
Ответы
200: OK
GET /identity/entity-alias/id
ID операции: entity-list-aliases-by-id
Список всех идентификаторов псевдонимов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/entity-alias/id/{id}
ID операции: entity-read-alias-by-id
Обновить, прочитать или удалить идентификатор псевдонима.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор псевдонима |
Ответы
200: OK
POST /identity/entity-alias/id/{id}
ID операции: entity-update-alias-by-id
Обновить, прочитать или удалить идентификатор псевдонима.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор псевдонима |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
canonical_id |
string | нет | Идентификатор сущности, к которой должен быть привязан этот псевдоним |
custom_metadata |
object | нет | Предоставленные пользователем пары ключ-значение |
entity_id |
string | нет | Идентификатор сущности, которой принадлежит этот псевдоним. Это поле устарело, используйте canonical_id. |
mount_accessor |
string | нет | (Не используется) |
name |
string | нет | (Не используется) |
Ответы
200: OK
DELETE /identity/entity-alias/id/{id}
ID операции: entity-delete-alias-by-id
Обновить, прочитать или удалить идентификатор псевдонима.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор псевдонима |
Ответы
204: пустое тело
POST /identity/entity/batch-delete
ID операции: entity-batch-delete
Удаляет все предоставленные сущности
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
entity_ids |
array | нет | Идентификаторы сущностей для удаления |
Ответы
200: OK
GET /identity/entity/id
ID операции: entity-list-by-id
Список всех идентификаторов сущностей
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/entity/id/{id}
ID операции: entity-read-by-id
Обновить, прочитать или удалить сущность, используя её ID
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор сущности. Если установлен, обновляет соответствующую существующую сущность. |
Ответы
200: OK
POST /identity/entity/id/{id}
ID операции: entity-update-by-id
Обновить, прочитать или удалить сущность, используя её ID
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор сущности. Если установлен, обновляет соответствующую существующую сущность. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disabled |
boolean | нет | Если установлено значение true, то токены, привязанные к этой идентификации, не смогут быть использованы (но не будут отозваны). |
metadata |
object | нет | Метаданные, которые должны быть связаны с сущностью. В CLI этот параметр может повторяться несколько раз, и все они будут объединены вместе. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
name |
string | нет | Название организации |
policies |
array | нет | Политики должны быть привязаны к организации. |
Ответы
200: OK
DELETE /identity/entity/id/{id}
ID операции: entity-delete-by-id
Обновить, прочитать или удалить сущность, используя её ID
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор сущности. Если установлен, обновляет соответствующую существующую сущность. |
Ответы
204: пустое тело
POST /identity/entity/merge
ID операции: entity-merge
Слияние двух или более организаций
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
conflicting_alias_ids_to_keep |
array | нет | Идентификаторы псевдонимов, которые следует сохранить в случае конфликтующих псевдонимов. Игнорируется, если конфликтующие псевдонимы не найдены |
force |
boolean | нет | Установка этого параметра будет следовать стратегии 'mine' для слияния секретов MFA. Если секреты одного типа есть как в сущностях, из которых происходит слияние, так и в сущности, в которую сливаются все остальные, секреты в пункте назначения не будут изменены. Если значение не задано, этот API выдаст ошибку, содержащую все конфликты. |
from_entity_ids |
array | нет | Идентификаторы сущностей, которые необходимо объединить |
to_entity_id |
string | нет | Идентификатор сущности, в которую должны быть объединены все остальные сущности |
Ответы
200: OK
GET /identity/entity/name
ID операции: entity-list-by-name
Отображает все имена сущностей
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/entity/name/{name}
ID операции: entity-read-by-name
Обновление, чтение или удаление сущности по имени сущности
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название организации |
Ответы
200: OK
POST /identity/entity/name/{name}
ID операции: entity-update-by-name
Обновление, чтение или удаление сущности по имени сущности
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название организации |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disabled |
boolean | нет | Если установлено значение true, то токены, привязанные к этой идентификации, не смогут быть использованы (но не будут отозваны). |
id |
string | нет | Идентификатор сущности. Если установлен, обновляет соответствующую существующую сущность. |
metadata |
object | нет | Метаданные, которые должны быть связаны с сущностью. В CLI этот параметр может повторяться несколько раз, и все они будут объединены вместе. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
policies |
array | нет | Политики должны быть привязаны к организации. |
Ответы
200: OK
DELETE /identity/entity/name/{name}
ID операции: entity-delete-by-name
Обновление, чтение или удаление сущности по имени сущности
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название организации |
Ответы
204: пустое тело
POST /identity/group
ID операции: group-create
Создайте новую группу.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
id |
string | нет | Идентификатор группы. Если установлен, обновляет соответствующую существующую группу. |
member_entity_ids |
array | нет | Идентификаторы субъектов, которые будут назначены в качестве членов группы. |
member_group_ids |
array | нет | Идентификаторы групп, которые будут назначены в качестве членов группы. |
metadata |
object | нет | Метаданные, которые должны быть связаны с группой. В CLI этот параметр можно повторить несколько раз, и все они будут объединены. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
name |
string | нет | Название группы. |
policies |
array | нет | Политика должна быть привязана к группе. |
type |
string | нет | Тип группы, "внутренняя" или "внешняя". По умолчанию - 'внутренняя' |
Ответы
200: OK
POST /identity/group-alias
ID операции: group-create-alias
Создает новый групповой псевдоним или обновляет существующий.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
canonical_id |
string | нет | Идентификатор группы, для которой это псевдоним. |
id |
string | нет | Идентификатор псевдонима группы. |
mount_accessor |
string | нет | Аксессор горы, к которому принадлежит этот псевдоним. |
name |
string | нет | Псевдоним группы. |
Ответы
200: OK
GET /identity/group-alias/id
ID операции: group-list-aliases-by-id
Список всех идентификаторов псевдонимов групп.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/group-alias/id/{id}
ID операции: group-read-alias-by-id
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор псевдонима группы. |
Ответы
200: OK
POST /identity/group-alias/id/{id}
ID операции: group-update-alias-by-id
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор псевдонима группы. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
canonical_id |
string | нет | Идентификатор группы, для которой это псевдоним. |
mount_accessor |
string | нет | Аксессор горы, к которому принадлежит этот псевдоним. |
name |
string | нет | Псевдоним группы. |
Ответы
200: OK
DELETE /identity/group-alias/id/{id}
ID операции: group-delete-alias-by-id
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор псевдонима группы. |
Ответы
204: пустое тело
GET /identity/group/id
ID операции: group-list-by-id
Список всех идентификаторов групп.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/group/id/{id}
ID операции: group-read-by-id
Обновить или удалить существующую группу, используя её ID.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор группы. Если установлен, обновляет соответствующую существующую группу. |
Ответы
200: OK
POST /identity/group/id/{id}
ID операции: group-update-by-id
Обновить или удалить существующую группу, используя её ID.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор группы. Если установлен, обновляет соответствующую существующую группу. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
member_entity_ids |
array | нет | Идентификаторы субъектов, которые будут назначены в качестве членов группы. |
member_group_ids |
array | нет | Идентификаторы групп, которые будут назначены в качестве членов группы. |
metadata |
object | нет | Метаданные, которые должны быть связаны с группой. В CLI этот параметр можно повторить несколько раз, и все они будут объединены. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
name |
string | нет | Название группы. |
policies |
array | нет | Политика должна быть привязана к группе. |
type |
string | нет | Тип группы, "внутренняя" или "внешняя". По умолчанию - 'внутренняя' |
Ответы
200: OK
DELETE /identity/group/id/{id}
ID операции: group-delete-by-id
Обновить или удалить существующую группу, используя её ID.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор группы. Если установлен, обновляет соответствующую существующую группу. |
Ответы
204: пустое тело
GET /identity/group/name
ID операции: group-list-by-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/group/name/{name}
ID операции: group-read-by-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название группы. |
Ответы
200: OK
POST /identity/group/name/{name}
ID операции: group-update-by-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название группы. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
id |
string | нет | Идентификатор группы. Если установлен, обновляет соответствующую существующую группу. |
member_entity_ids |
array | нет | Идентификаторы субъектов, которые будут назначены в качестве членов группы. |
member_group_ids |
array | нет | Идентификаторы групп, которые будут назначены в качестве членов группы. |
metadata |
object | нет | Метаданные, которые должны быть связаны с группой. В CLI этот параметр можно повторить несколько раз, и все они будут объединены. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
policies |
array | нет | Политика должна быть привязана к группе. |
type |
string | нет | Тип группы, "внутренняя" или "внешняя". По умолчанию - 'внутренняя' |
Ответы
200: OK
DELETE /identity/group/name/{name}
ID операции: group-delete-by-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название группы. |
Ответы
204: пустое тело
POST /identity/lookup/entity
ID операции: entity-look-up
Запрос сущности на основе различных свойств.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alias_id |
string | нет | Идентификатор псевдонима. |
alias_mount_accessor |
string | нет | Аксессор монтирования, к которому принадлежит псевдоним. Его следует указывать вместе с 'alias_name'. |
alias_name |
string | нет | Имя псевдонима. Его следует указывать в сочетании с 'alias_mount_accessor'. |
id |
string | нет | Идентификатор сущности. |
name |
string | нет | Название организации. |
Ответы
200: OK
POST /identity/lookup/group
ID операции: group-look-up
Запрос группы на основе различных свойств.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alias_id |
string | нет | Идентификатор псевдонима. |
alias_mount_accessor |
string | нет | Аксессор монтирования, к которому принадлежит псевдоним. Его следует указывать вместе с 'alias_name'. |
alias_name |
string | нет | Имя псевдонима. Его следует указывать в сочетании с 'alias_mount_accessor'. |
id |
string | нет | Идентификатор группы. |
name |
string | нет | Название группы. |
Ответы
200: OK
GET /identity/mfa/login-enforcement
ID операции: mfa-list-login-enforcements
Список принудительных мер по входу в систему
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/mfa/login-enforcement/{name}
ID операции: mfa-read-login-enforcement
Считывает текущий логин
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя для этой конфигурации обеспечения входа в систему |
Ответы
200: OK
POST /identity/mfa/login-enforcement/{name}
ID операции: mfa-write-login-enforcement
Создает или обновляет принудительный вход в систему
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя для этой конфигурации обеспечения входа в систему |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
auth_method_accessors |
array | нет | Массив идентификаторов аксессоров монтирования auth |
auth_method_types |
array | нет | Массив типов монтирования аутентификации |
identity_entity_ids |
array | нет | Массив идентификаторов субъектов идентификации |
identity_group_ids |
array | нет | Массив идентификаторов групп идентификации |
mfa_method_ids |
array | да | Массив идентификаторов методов, определяющих, какие методы будут применяться |
Ответы
200: OK
DELETE /identity/mfa/login-enforcement/{name}
ID операции: mfa-delete-login-enforcement
Удаление принудительного входа в систему
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя для этой конфигурации обеспечения входа в систему |
Ответы
204: пустое тело
GET /identity/mfa/method
ID операции: mfa-list-methods
Список конфигураций методов MFA для всех методов MFA
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/mfa/method/duo
ID операции: mfa-list-duo-methods
Список конфигураций методов MFA для данного метода MFA
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/mfa/method/duo/{method_id}
ID операции: mfa-read-duo-method-configuration
Прочитайте текущую конфигурацию для данного метода MFA
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для данного метода MFA. |
Ответы
200: OK
POST /identity/mfa/method/duo/{method_id}
ID операции: mfa-configure-duo-method
Обновить или создать конфигурацию для данного MFA метода
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для данного метода MFA. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
api_hostname |
string | нет | Имя хоста API для Duo. |
integration_key |
string | нет | Ключ интеграции для Duo. |
method_name |
string | нет | Уникальный идентификатор имени для данного метода MFA. |
push_info |
string | нет | Информация о нажатии для Дуо. |
secret_key |
string | нет | Секретный ключ для Дуо. |
use_passcode |
boolean | нет | Если значение равно true, то при проверке MFA пользователю будет напоминаться о необходимости использования пароля. Этот параметр не принуждает к использованию пароля. По умолчанию установлено значение false. |
username_format |
string | нет | Строка-шаблон для сопоставления имен идентификаторов с именами методов MFA. Значения для подстановки должны быть помещены в {{}}. Например, "{{alias.name}}@example.com". Поддерживаемые в настоящее время сопоставления: alias.name: имя, возвращаемое монтированием, настроенным через параметр mount_accessor Если пусто, поле имени псевдонима будет использоваться как есть. |
Ответы
200: OK
DELETE /identity/mfa/method/duo/{method_id}
ID операции: mfa-delete-duo-method
Удаляет конфигурацию для данного метода MFA
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для данного метода MFA. |
Ответы
204: пустое тело
GET /identity/mfa/method/okta
ID операции: mfa-list-okta-methods
Список конфигураций методов MFA для данного метода MFA
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/mfa/method/okta/{method_id}
ID операции: mfa-read-okta-method-configuration
Прочитайте текущую конфигурацию для данного метода MFA
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для данного метода MFA. |
Ответы
200: OK
POST /identity/mfa/method/okta/{method_id}
ID операции: mfa-configure-okta-method
Обновить или создать конфигурацию для данного MFA метода
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для данного метода MFA. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
api_token |
string | нет | Ключ API Okta. |
base_url |
string | нет | Базовый домен, используемый для API Okta. Если он не указан в конфигурации, используется "okta.com". |
method_name |
string | нет | Уникальный идентификатор имени для данного метода MFA. |
org_name |
string | нет | Название организации, которое будет использоваться в Okta API. |
primary_email |
boolean | нет | Если значение равно true, имя пользователя будет соответствовать только основному электронному адресу учетной записи. По умолчанию установлено значение false. |
production |
boolean | нет | (DEPRECATED) Вместо этого используйте base_url. |
username_format |
string | нет | Строка-шаблон для сопоставления имен идентификаторов с именами методов MFA. Заменяемые значения должны быть помещены в {{}}. Например, "{{entity.name}}@example.com". Если поле имени сущности пустое, оно будет использоваться как есть. |
Ответы
200: OK
DELETE /identity/mfa/method/okta/{method_id}
ID операции: mfa-delete-okta-method
Удаляет конфигурацию для данного метода MFA
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для данного метода MFA. |
Ответы
204: пустое тело
GET /identity/mfa/method/pingid
ID операции: mfa-list-ping-id-methods
Список конфигураций методов MFA для данного метода MFA
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/mfa/method/pingid/{method_id}
ID операции: mfa-read-ping-id-method-configuration
Прочитайте текущую конфигурацию для данного метода MFA
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для данного метода MFA. |
Ответы
200: OK
POST /identity/mfa/method/pingid/{method_id}
ID операции: mfa-configure-ping-id-method
Обновить или создать конфигурацию для данного MFA метода
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для данного метода MFA. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
method_name |
string | нет | Уникальный идентификатор имени для данного метода MFA. |
settings_file_base64 |
string | нет | Файл настроек, предоставляемый Ping, в Base64-кодировке. Это должен быть файл настроек, подходящий для сторонних клиентов, а не для PingID SDK или PingFederate. |
username_format |
string | нет | Строка-шаблон для сопоставления имен идентификаторов с именами методов MFA. Значения для подстановки должны быть помещены в {{}}. Например, "{{alias.name}}@example.com". Поддерживаемые в настоящее время сопоставления: alias.name: имя, возвращаемое монтированием, настроенным через параметр mount_accessor Если пусто, поле имени псевдонима будет использоваться как есть. |
Ответы
200: OK
DELETE /identity/mfa/method/pingid/{method_id}
ID операции: mfa-delete-ping-id-method
Удаляет конфигурацию для данного метода MFA
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для данного метода MFA. |
Ответы
204: пустое тело
GET /identity/mfa/method/totp
ID операции: mfa-list-totp-methods
Список конфигураций методов MFA для данного метода MFA
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
POST /identity/mfa/method/totp/admin-destroy
ID операции: mfa-admin-destroy-totp-secret
Уничтожает TOTP-секрет для данного идентификатора метода MFA на данной сущности
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
entity_id |
string | да | Идентификатор объекта, из которого необходимо удалить секрет метода MFA. |
method_id |
string | да | Уникальный идентификатор для данного метода MFA. |
Ответы
200: OK
POST /identity/mfa/method/totp/admin-generate
ID операции: mfa-admin-generate-totp-secret
Обновить или создать TOTP-секрет для данного идентификатора метода на указанной сущности.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
entity_id |
string | да | Идентификатор сущности, на которой должен храниться созданный секрет. |
method_id |
string | да | Уникальный идентификатор для данного метода MFA. |
Ответы
200: OK
POST /identity/mfa/method/totp/generate
ID операции: mfa-generate-totp-secret
Обновить или создать TOTP-секрет для данного идентификатора метода на указанной сущности.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
method_id |
string | да | Уникальный идентификатор для данного метода MFA. |
Ответы
200: OK
GET /identity/mfa/method/totp/{method_id}
ID операции: mfa-read-totp-method-configuration
Прочитайте текущую конфигурацию для данного метода MFA
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для данного метода MFA. |
Ответы
200: OK
POST /identity/mfa/method/totp/{method_id}
ID операции: mfa-configure-totp-method
Обновить или создать конфигурацию для данного MFA метода
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для данного метода MFA. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: SHA1) | нет | Алгоритм хэширования, используемый для генерации токена TOTP. Варианты включают SHA1, SHA256 и SHA512. |
digits |
integer (default: 6) | нет | Количество цифр в генерируемом TOTP-токене. Это значение может быть либо 6, либо 8. |
issuer |
string | нет | Название организации, выдавшей ключ. |
key_size |
integer (default: 20) | нет | Определяет размер в байтах генерируемого ключа. |
max_validation_attempts |
integer | нет | Максимальное количество допустимых попыток проверки. |
method_name |
string | нет | Уникальный идентификатор имени для данного метода MFA. |
period |
integer (default: 30) | нет | Длительность времени, используемого для генерации счетчика для расчета токена TOTP. |
qr_size |
integer (default: 200) | нет | Размер пикселя генерируемого квадратного QR-кода. |
skew |
integer (default: 1) | нет | Количество периодов задержки, допустимых при проверке токена TOTP. Это значение может быть либо 0, либо 1. |
Ответы
200: OK
DELETE /identity/mfa/method/totp/{method_id}
ID операции: mfa-delete-totp-method
Удаляет конфигурацию для данного метода MFA
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для данного метода MFA. |
Ответы
204: пустое тело
GET /identity/mfa/method/{method_id}
ID операции: mfa-read-method-configuration
Прочитайте текущую конфигурацию для данного ID независимо от типа метода MFA
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
method_id |
string | path | да | Уникальный идентификатор для данного метода MFA. |
Ответы
200: OK
GET /identity/oidc/.well-known/keys
ID операции: oidc-read-public-keys
Получение открытых ключей
Доступен без аутентификации: да
Ответы
200: OK
GET /identity/oidc/.well-known/openid-configuration
ID операции: oidc-read-open-id-configuration
Запрос настроек OIDC
Доступен без аутентификации: да
Ответы
200: OK
GET /identity/oidc/assignment
ID операции: oidc-list-assignments
Список назначений OIDC
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/oidc/assignment/{name}
ID операции: oidc-read-assignment
Операции CRUD для назначений OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название задания |
Ответы
200: OK
POST /identity/oidc/assignment/{name}
ID операции: oidc-write-assignment
Операции CRUD для назначений OIDC.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название задания |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
entity_ids |
array | нет | Строка или массив идентификаторов субъектов идентификации, разделенные запятыми |
group_ids |
array | нет | Строка или массив идентификаторов групп идентификации, разделенные запятыми |
Ответы
200: OK
DELETE /identity/oidc/assignment/{name}
ID операции: oidc-delete-assignment
Операции CRUD для назначений OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название задания |
Ответы
204: пустое тело
GET /identity/oidc/client
ID операции: oidc-list-clients
Список клиентов OIDC
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/oidc/client/{name}
ID операции: oidc-read-client
Операции CRUD для клиентов OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя клиента. |
Ответы
200: OK
POST /identity/oidc/client/{name}
ID операции: oidc-write-client
Операции CRUD для клиентов OIDC.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя клиента. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
access_token_ttl |
integer (default: 24h) | нет | Время жизни токенов доступа, полученных клиентом. |
assignments |
array | нет | Строка или массив ресурсов назначения, разделенные запятыми. |
client_type |
string (default: confidential) | нет | Тип клиента зависит от его способности сохранять конфиденциальность учетных данных. Поддерживаются следующие типы клиентов: 'конфиденциальный', 'публичный'. По умолчанию используется значение 'конфиденциальный'. |
id_token_ttl |
integer (default: 24h) | нет | Время жизни ID-токенов, полученных клиентом. |
key |
string (default: default) | нет | Ссылка на ресурс именованного ключа. Не может быть изменена после создания. По умолчанию используется ключ 'default'. |
redirect_uris |
array | нет | Разделенная запятыми строка или массив URI перенаправления, используемых клиентом. Одно из этих значений должно точно соответствовать значению параметра redirect_uri, используемому в каждом запросе аутентификации. |
Ответы
200: OK
DELETE /identity/oidc/client/{name}
ID операции: oidc-delete-client
Операции CRUD для клиентов OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя клиента. |
Ответы
204: пустое тело
GET /identity/oidc/config
ID операции: oidc-read-configuration
Конфигурация OIDC
Ответы
200: OK
POST /identity/oidc/config
ID операции: oidc-configure
Конфигурация OIDC
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
issuer |
string | нет | URL-адрес эмитента, который будет использоваться в утверждении iss токена. Если он не задан, будет использоваться app_addr. |
Ответы
200: OK
POST /identity/oidc/introspect
ID операции: oidc-introspect
Проверить подлинность OIDC токена
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
client_id |
string | нет | Необязательный идентификатор клиента для проверки |
token |
string | нет | Токен для проверки |
Ответы
200: OK
GET /identity/oidc/key
ID операции: oidc-list-keys
Список ключей OIDC
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/oidc/key/{name}
ID операции: oidc-read-key
Операции CRUD для ключей OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
Ответы
200: OK
POST /identity/oidc/key/{name}
ID операции: oidc-write-key
Операции CRUD для ключей OIDC.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: RS256) | нет | Используемый алгоритм подписи. По умолчанию используется RS256. |
allowed_client_ids |
array | нет | Строка или массив идентификаторов клиентов ролей, которым разрешено использовать этот ключ для подписи, разделенные запятыми. Если пусто, то ни одна роль не разрешена. Если "*", то разрешены все роли. |
rotation_period |
integer (default: 24h) | нет | Как часто генерировать новую пару ключей. |
verification_ttl |
integer (default: 24h) | нет | Контролирует, как долго открытая часть ключа будет доступна для проверки после ротации. |
Ответы
200: OK
DELETE /identity/oidc/key/{name}
ID операции: oidc-delete-key
Операции CRUD для ключей OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
Ответы
204: пустое тело
POST /identity/oidc/key/{name}/rotate
ID операции: oidc-rotate-key
Поверните именованный OIDC-ключ.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
verification_ttl |
integer | нет | Определяет, как долго открытая часть ключа будет доступна для проверки после поворота. Установка verification_ttl здесь отменяет verification_ttl, установленный для ключа. |
Ответы
200: OK
GET /identity/oidc/provider
ID операции: oidc-list-providers
Список провайдеров OIDC
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
allowed_client_id |
string | query | нет | Фильтрует список провайдеров OIDC до тех, которые допускают заданный идентификатор клиента в своем наборе разрешенных_клиентских_идентификаторов. |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/oidc/provider/{name}
ID операции: oidc-read-provider
Операции CRUD для провайдеров OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Ответы
200: OK
POST /identity/oidc/provider/{name}
ID операции: oidc-write-provider
Операции CRUD для провайдеров OIDC.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_client_ids |
array | нет | Идентификаторы клиентов, которым разрешено использовать провайдера |
issuer |
string | нет | Указывает, что будет использоваться для утверждения идентификационных токенов iss. |
scopes_supported |
array | нет | Области, поддерживаемые для запросов к провайдеру |
Ответы
200: OK
DELETE /identity/oidc/provider/{name}
ID операции: oidc-delete-provider
Операции CRUD для провайдеров OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Ответы
204: пустое тело
GET /identity/oidc/provider/{name}/.well-known/keys
ID операции: oidc-read-provider-public-keys
Получение открытых ключей
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Ответы
200: OK
GET /identity/oidc/provider/{name}/.well-known/openid-configuration
ID операции: oidc-read-provider-open-id-configuration
Запрос настроек OIDC
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Ответы
200: OK
GET /identity/oidc/provider/{name}/authorize
ID операции: oidc-provider-authorize
Предоставляет конечную точку авторизации OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Ответы
200: OK
POST /identity/oidc/provider/{name}/authorize
ID операции: oidc-provider-authorize-with-parameters
Предоставляет конечную точку авторизации OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
client_id |
string | да | Идентификатор запрашивающего клиента. |
code_challenge |
string | нет | Кодовый вызов, полученный от верификатора кода. |
code_challenge_method |
string (default: plain) | нет | Метод, который был использован для получения кода вызова. Поддерживаются следующие методы: 'S256', 'plain'. По умолчанию используется 'plain'. |
max_age |
integer | нет | Допустимое время в секундах, прошедшее с момента последней активной аутентификации конечного пользователя. |
nonce |
string | нет | Значение, которое будет возвращено в утверждении ID token nonce после обмена токенами. |
redirect_uri |
string | да | URI перенаправления, на который будет отправлен ответ. |
response_type |
string | да | Используемый поток аутентификации OIDC. Поддерживаются следующие типы ответов: 'code' |
scope |
string | да | Ограниченный пробелами, чувствительный к регистру список областей, которые необходимо запросить. Область 'openid' является обязательной. |
state |
string | нет | Значение, используемое для сохранения состояния между запросом аутентификации и клиентом. |
Ответы
200: OK
POST /identity/oidc/provider/{name}/token
ID операции: oidc-provider-token
Предоставляет конечную точку токена OIDC.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
client_id |
string | нет | Идентификатор запрашивающего клиента. |
client_secret |
string | нет | Секрет запрашивающего клиента. |
code |
string | да | Код авторизации, полученный от конечной точки авторизации провайдера. |
code_verifier |
string | нет | Верификатор кода, связанный с кодом авторизации. |
grant_type |
string | да | Тип гранта авторизации. Поддерживаются следующие типы грантов: 'authorization_code'. |
redirect_uri |
string | да | Место обратного вызова, куда был отправлен ответ аутентификации. |
Ответы
200: OK
GET /identity/oidc/provider/{name}/userinfo
ID операции: oidc-provider-user-info
Предоставляет конечную точку UserInfo OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Ответы
200: OK
POST /identity/oidc/provider/{name}/userinfo
ID операции: oidc-provider-user-info2
Предоставляет конечную точку UserInfo OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название провайдера |
Ответы
200: OK
GET /identity/oidc/role
ID операции: oidc-list-roles
Список настроенных ролей OIDC
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/oidc/role/{name}
ID операции: oidc-read-role
Операции CRUD на ролях OIDC
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
Ответы
200: OK
POST /identity/oidc/role/{name}
ID операции: oidc-write-role
Операции CRUD на ролях OIDC
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
client_id |
string | нет | Необязательный идентификатор клиента |
key |
string | да | Ключ OIDC, который будет использоваться для генерации токенов. Указанный ключ должен уже существовать. |
template |
string | нет | Строка шаблона, используемая для генерации токенов. Это может быть строка в формате JSON или base64. |
ttl |
integer (default: 24h) | нет | TTL токенов, сгенерированных против роли. |
Ответы
200: OK
DELETE /identity/oidc/role/{name}
ID операции: oidc-delete-role
Операции CRUD на ролях OIDC
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
Ответы
204: пустое тело
GET /identity/oidc/scope
ID операции: oidc-list-scopes
Список областей OIDC
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/oidc/scope/{name}
ID операции: oidc-read-scope
Операции CRUD для областей OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название области действия |
Ответы
200: OK
POST /identity/oidc/scope/{name}
ID операции: oidc-write-scope
Операции CRUD для областей OIDC.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название области действия |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
description |
string | нет | Описание сферы применения |
template |
string | нет | Строка шаблона, которую следует использовать для области видимости. Это может быть строка в формате JSON или base64. |
Ответы
200: OK
DELETE /identity/oidc/scope/{name}
ID операции: oidc-delete-scope
Операции CRUD для областей OIDC.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название области действия |
Ответы
204: пустое тело
GET /identity/oidc/token/{name}
ID операции: oidc-generate-token
Создайте токен OIDC
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
Ответы
200: OK
POST /identity/persona
ID операции: persona-create
Создайте новый псевдоним.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
entity_id |
string | нет | Идентификатор сущности, к которой принадлежит эта персона |
id |
string | нет | Идентификатор персоны |
metadata |
object | нет | Метаданные, которые должны быть связаны с персоной. В CLI этот параметр можно повторять несколько раз, и все они будут объединены. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
mount_accessor |
string | нет | Горный аксессуар, к которому принадлежит эта персона |
name |
string | нет | Имя персоны |
Ответы
200: OK
GET /identity/persona/id
ID операции: persona-list-by-id
Список всех идентификаторов псевдонимов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /identity/persona/id/{id}
ID операции: persona-read-by-id
Обновить, прочитать или удалить идентификатор псевдонима.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор персоны |
Ответы
200: OK
POST /identity/persona/id/{id}
ID операции: persona-update-by-id
Обновить, прочитать или удалить идентификатор псевдонима.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор персоны |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
entity_id |
string | нет | Идентификатор сущности, к которой должна быть привязана эта персона |
metadata |
object | нет | Метаданные, которые должны быть связаны с персоной. В CLI этот параметр можно повторять несколько раз, и все они будут объединены. Например: stronghold <команда> <путь> metadata=key1=value1 metadata=key2=value2 |
mount_accessor |
string | нет | Горный аксессуар, к которому принадлежит эта персона |
name |
string | нет | Имя персоны |
Ответы
200: OK
DELETE /identity/persona/id/{id}
ID операции: persona-delete-by-id
Обновить, прочитать или удалить идентификатор псевдонима.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
id |
string | path | да | Идентификатор персоны |
Ответы
204: пустое тело
secrets
GET /cubbyhole/{path}
ID операции: cubbyhole-read
Получение секрета в указанном месте.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Укажите путь к секрету. |
list |
string | query | нет | Возвращает список, если true. |
Ответы
200: OK
POST /cubbyhole/{path}
ID операции: cubbyhole-write
Сохраните секрет в указанном месте.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Укажите путь к секрету. |
Ответы
200: OK
DELETE /cubbyhole/{path}
ID операции: cubbyhole-delete
Удаляет секрет в указанном месте.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Укажите путь к секрету. |
Ответы
204: пустое тело
GET /{database_mount_path}/config
ID операции: database-list-connections
Настраивает параметры подключения к плагину базы данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{database_mount_path}/config/{name}
ID операции: database-read-connection-configuration
Настраивает параметры подключения к плагину базы данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя этого соединения с базой данных |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{database_mount_path}/config/{name}
ID операции: database-configure-connection
Настраивает параметры подключения к плагину базы данных.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя этого соединения с базой данных |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_roles |
array | нет | Строка или массив имен ролей, которым разрешено получать кредиты из этого соединения с базой данных, разделенные запятыми. Если пусто, то ни одна роль не разрешена. Если "*", то разрешены все роли. |
password_policy |
string | нет | Политика паролей, используемая при генерации паролей. |
plugin_name |
string | нет | Имя встроенного или ранее зарегистрированного плагина, известного в vault. Этот метод создаст экземпляр плагина этого типа. |
plugin_version |
string | нет | Версия используемого плагина. |
root_rotation_statements |
array | нет | Указывает операторы базы данных, которые должны быть выполнены для ротации учетных данных пользователя root. Дополнительную информацию о поддержке и форматировании этого параметра см. на странице API плагина. |
verify_connection |
boolean (default: True) | нет | Если true, то данные о соединении проверяются путем фактического подключения к базе данных. По умолчанию установлено значение true. |
Ответы
200: OK
DELETE /{database_mount_path}/config/{name}
ID операции: database-delete-connection-configuration
Настраивает параметры подключения к плагину базы данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя этого соединения с базой данных |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{database_mount_path}/creds/{name}
ID операции: database-generate-credentials
Запрос учетных данных базы данных для определенной роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{database_mount_path}/reset/{name}
ID операции: database-reset-connection
Сбрасывает плагин базы данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя этого соединения с базой данных |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{database_mount_path}/roles
ID операции: database-list-roles
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{database_mount_path}/roles/{name}
ID операции: database-read-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{database_mount_path}/roles/{name}
ID операции: database-write-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
creation_statements |
array | нет | Указывает операторы базы данных, выполняемые для создания и настройки пользователя. Дополнительные сведения о поддержке и форматировании этого параметра см. на странице API плагина. |
credential_config |
object | нет | Конфигурация для данного credential_type. |
credential_type |
string (default: password) | нет | Тип учетных данных для управления. Варианты включают: 'password', 'rsa_private_key'. По умолчанию выбрано значение 'password'. |
db_name |
string | нет | Имя базы данных, на которую действует эта роль. |
default_ttl |
integer | нет | Ttl по умолчанию для роли. |
max_ttl |
integer | нет | Максимальное время действия учетной записи |
renew_statements |
array | нет | Определяет операторы базы данных, которые должны быть выполнены для обновления пользователя. Не все типы плагинов поддерживают эту функциональность. Дополнительную информацию о поддержке и форматировании этого параметра см. на странице API плагина. |
revocation_statements |
array | нет | Указывает операторы базы данных, которые должны быть выполнены для отзыва пользователя. Дополнительные сведения о поддержке и форматировании этого параметра см. на странице API плагина. |
rollback_statements |
array | нет | Указывает операторы базы данных, которые будут выполняться для отката операции создания в случае ошибки. Не все типы плагинов поддерживают эту функциональность. Дополнительную информацию о поддержке и форматировании этого параметра см. на странице API плагина. |
Ответы
200: OK
DELETE /{database_mount_path}/roles/{name}
ID операции: database-delete-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{database_mount_path}/rotate-role/{name}
ID операции: database-rotate-static-role-credentials
Запрос на изменение учетных данных для статической учетной записи пользователя.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя статической роли |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{database_mount_path}/rotate-root/{name}
ID операции: database-rotate-root-credentials
Запрос на изменение учетных данных root для определенного соединения с базой данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя этого соединения с базой данных |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{database_mount_path}/static-creds/{name}
ID операции: database-read-static-role-credentials
Request database credentials for a certain static role. These credentials are rotated periodically.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя статической роли. |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{database_mount_path}/static-roles
ID операции: database-list-static-roles
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{database_mount_path}/static-roles/{name}
ID операции: database-read-static-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{database_mount_path}/static-roles/{name}
ID операции: database-write-static-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
credential_config |
object | нет | Конфигурация для данного credential_type. |
credential_type |
string (default: password) | нет | Тип учетных данных для управления. Варианты включают: 'password', 'rsa_private_key'. По умолчанию выбрано значение 'password'. |
db_name |
string | нет | Имя базы данных, на которую действует эта роль. |
rotation_period |
integer | нет | Период автоматической ротации учетных данных для данного имени пользователя. Недействителен, если не используется вместе с "username". |
rotation_statements |
array | нет | Указывает операторы базы данных, которые будут выполняться для ротации учетных данных. Не все типы плагинов поддерживают эту функциональность. Дополнительную информацию о поддержке и форматировании этого параметра см. на странице API плагина. |
username |
string | нет | Имя статической учетной записи пользователя для управления Vault. Требуется указать "rotation_period". |
Ответы
200: OK
DELETE /{database_mount_path}/static-roles/{name}
ID операции: database-delete-static-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
database_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{kubernetes_mount_path}/check
ID операции: kubernetes-check-configuration
Проверяет, действительна ли конфигурация Kubernetes.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{kubernetes_mount_path}/config
ID операции: kubernetes-read-configuration
Настроить плагин секретного механизма Kubernetes.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{kubernetes_mount_path}/config
ID операции: kubernetes-configure
Настроить плагин секретного механизма Kubernetes.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disable_local_ca_jwt |
boolean (default: False) | нет | Отключите использование по умолчанию сертификата локального центра сертификации и JWT учетной записи службы при запуске в стручке Kubernetes. |
kubernetes_ca_cert |
string | нет | Сертификат ЦС в кодировке PEM, используемый для проверки сертификата сервера Kubernetes API. По умолчанию используется ЦС локального пода, если он найден. |
kubernetes_host |
string | нет | URL-адрес API Kubernetes для подключения. По умолчанию https://$KUBERNETES_SERVICE_HOST:KUBERNETES_SERVICE_PORT, если эти переменные окружения установлены. |
service_account_jwt |
string | нет | Веб-токен JSON учетной записи службы, используемой механизмом secret engine для управления учетными данными Kubernetes. По умолчанию используется JWT локального пода, если он найден. |
Ответы
200: OK
DELETE /{kubernetes_mount_path}/config
ID операции: kubernetes-delete-configuration
Настроить плагин секретного механизма Kubernetes.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{kubernetes_mount_path}/creds/{name}
ID операции: kubernetes-generate-credentials
Запросите учетные данные учетной записи службы Kubernetes для данной роли Vault.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя роли хранилища |
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
audiences |
array | нет | Целевая аудитория созданных учетных данных |
cluster_role_binding |
boolean | нет | Если true, создайте ClusterRoleBinding для предоставления прав по всему кластеру, а не внутри пространства имен. Требуется, чтобы роль Vault имела для kubernetes_role_type значение ClusterRole. |
kubernetes_namespace |
string | да | Имя пространства имен Kubernetes, в котором будут генерироваться учетные данные |
ttl |
integer | нет | TTL сгенерированных учетных данных |
Ответы
200: OK
GET /{kubernetes_mount_path}/roles
ID операции: kubernetes-list-roles
Отображает существующие роли в этом механизме секретов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{kubernetes_mount_path}/roles/{name}
ID операции: kubernetes-read-role
Управляйте ролями, которые можно создать с помощью этого механизма секретов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{kubernetes_mount_path}/roles/{name}
ID операции: kubernetes-write-role
Управляйте ролями, которые можно создать с помощью этого механизма секретов.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_kubernetes_namespace_selector |
string | нет | Селектор меток для пространств имен Kubernetes, в которых могут быть сгенерированы учетные данные. Принимает объект в формате JSON или YAML. Если задан с allowed_kubernetes_namespaces, условия конъюнктивны. |
allowed_kubernetes_namespaces |
array | нет | Список пространств имен Kubernetes, в которых могут быть сгенерированы учетные данные. Если установлено значение "*", разрешены все пространства имен. |
extra_annotations |
object | нет | Дополнительные аннотации для применения ко всем сгенерированным объектам Kubernetes. |
extra_labels |
object | нет | Дополнительные метки, которые будут применяться ко всем созданным объектам Kubernetes. |
generated_role_rules |
string | нет | Правила Role или ClusterRole, которые следует использовать при генерации роли. Принимает объект в формате JSON или YAML. Если установлено, будет сгенерирована вся цепочка объектов Kubernetes. |
kubernetes_role_name |
string | нет | Существующая роль или роль кластера (ClusterRole), к которой следует привязать созданную учетную запись сервиса. Если задано, будут созданы объекты привязки токена Kubernetes, учетной записи сервиса и роли. |
kubernetes_role_type |
string (default: Role) | нет | Указывает, является ли роль Kubernetes ролью или ClusterRole. |
name_template |
string | нет | Шаблон имени, используемый при генерации учетных записей служб, ролей и привязок ролей. Если значение не задано, используется шаблон по умолчанию. |
service_account_name |
string | нет | Существующая учетная запись службы, для которой нужно сгенерировать токены. Взаимоисключающее значение со всеми параметрами роли. Если установлено, будет создан токен только учетной записи сервиса Kubernetes. |
token_default_audiences |
array | нет | Аудитория по умолчанию для генерируемых токенов учетных записей служб Kubernetes. Если не задано или задано значение "", будет использоваться кластерная аудитория k8s по умолчанию. |
token_default_ttl |
integer | нет | Значение ttl по умолчанию для генерируемых токенов учетных записей служб Kubernetes. Если не задано или установлено в 0, будет использоваться системное значение по умолчанию. |
token_max_ttl |
integer | нет | Максимальный ttl для генерируемых токенов учетных записей служб Kubernetes. Если не задано или установлено в 0, будет использоваться системное значение по умолчанию. |
Ответы
200: OK
DELETE /{kubernetes_mount_path}/roles/{name}
ID операции: kubernetes-delete-role
Управляйте ролями, которые можно создать с помощью этого механизма секретов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
kubernetes_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{kv_v1_mount_path}/{path}
ID операции: kv-v1-read
Передача секретного хранилища в бэкэнд хранилища, что позволяет читать/записывать произвольные данные в секретное хранилище.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета. |
kv_v1_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string | query | нет | Возвращает список, если true. |
Ответы
200: OK
POST /{kv_v1_mount_path}/{path}
ID операции: kv-v1-write
Передача секретного хранилища в бэкэнд хранилища, что позволяет читать/записывать произвольные данные в секретное хранилище.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета. |
kv_v1_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
DELETE /{kv_v1_mount_path}/{path}
ID операции: kv-v1-delete
Передача секретного хранилища в бэкэнд хранилища, что позволяет читать/записывать произвольные данные в секретное хранилище.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета. |
kv_v1_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /{kv_v2_mount_path}/config
ID операции: kv-v2-read-configuration
Считывает настройки уровня бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cas_required |
boolean | нет | Если значение равно true, бэкэнд будет требовать установки параметра cas для каждой записи |
delete_version_after |
integer | нет | Длительность времени до удаления версии. |
max_versions |
integer | нет | Количество версий для каждого ключа. |
POST /{kv_v2_mount_path}/config
ID операции: kv-v2-configure
Настраивает параметры уровня бэкенда, которые применяются к каждому ключу в хранилище ключевых значений.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cas_required |
boolean | нет | Если значение равно true, бэкэнд будет требовать установки параметра cas для каждой записи |
delete_version_after |
integer | нет | Если задано, длительность периода времени до удаления версии. Отрицательное значение длительности отключает использование delete_version_after для всех ключей. Нулевая длительность очищает текущую настройку. Принимает строку формата Go duration. |
max_versions |
integer | нет | Количество версий, которые следует хранить для каждого ключа. По умолчанию 10 |
Ответы
204: No Content
GET /{kv_v2_mount_path}/data/{path}
ID операции: kv-v2-read
Запись, обновление, чтение и удаление данных в хранилище Key-Value.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета. |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
data |
object | нет | |
metadata |
object | нет |
POST /{kv_v2_mount_path}/data/{path}
ID операции: kv-v2-write
Запись, обновление, чтение и удаление данных в хранилище Key-Value.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета. |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
data |
object | нет | Содержимое карты данных будет сохранено и возвращено при чтении. |
options |
object | нет | Параметры для записи записи KV. Установите значение "cas", чтобы использовать операцию проверки и установки. Если значение не установлено, запись будет разрешена. Если установлено значение 0, запись будет разрешена, только если ключ не существует. Если индекс ненулевой, запись будет разрешена только в том случае, если текущая версия ключа совпадает с версией, указанной в параметре cas. |
override_version |
integer | нет | Только репликация!!!!!!!! |
version |
integer | нет | Если указано при чтении, будет возвращено значение с номером версии |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
created_time |
string | нет | |
custom_metadata |
object | нет | |
deletion_time |
string | нет | |
destroyed |
boolean | нет | |
version |
integer | нет |
DELETE /{kv_v2_mount_path}/data/{path}
ID операции: kv-v2-delete
Запись, обновление, чтение и удаление данных в хранилище Key-Value.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета. |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /{kv_v2_mount_path}/delete/{path}
ID операции: kv-v2-delete-versions
Отмечает одну или несколько версий как удаленные в хранилище KV.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета. |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
versions |
array | нет | Версии, которые будут архивироваться. Данные с версиями не будут удалены, но они больше не будут возвращаться в обычных запросах на получение. |
Ответы
204: No Content
POST /{kv_v2_mount_path}/destroy/{path}
ID операции: kv-v2-destroy-versions
Навсегда удаляет одну или несколько версий в хранилище KV
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета. |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
versions |
array | нет | Версии для уничтожения. Их данные будут удалены навсегда. |
Ответы
204: No Content
GET /{kv_v2_mount_path}/metadata/{path}
ID операции: kv-v2-read-metadata
Настраивает параметры для хранилища KV
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета. |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string | query | нет | Возвращает список, если true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cas_required |
boolean | нет | |
created_time |
string | нет | |
current_version |
integer | нет | |
custom_metadata |
object | нет | Предоставленные пользователем пары ключ-значение, которые используются для описания произвольной и не зависящей от версии информации о секрете. |
delete_version_after |
integer | нет | Длительность времени до удаления версии. |
last_sync_time |
string | нет | |
max_versions |
integer | нет | Количество версий для хранения |
oldest_version |
integer | нет | |
updated_time |
string | нет | |
versions |
object | нет |
POST /{kv_v2_mount_path}/metadata/{path}
ID операции: kv-v2-write-metadata
Настраивает параметры для хранилища KV
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета. |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cas_required |
boolean | нет | Если true, ключ будет требовать установки параметра cas при всех запросах на запись. Если false, то будет использоваться конфигурация бэкенда. |
custom_metadata |
object | нет | Предоставленные пользователем пары ключ-значение, которые используются для описания произвольной и не зависящей от версии информации о секрете. |
delete_version_after |
integer | нет | Время, в течение которого версия будет удалена. Если не задано, используется сконфигурированное значение delete_version_after бэкенда. Не может быть больше, чем delete_version_after бэкенда. Нулевая длительность очищает текущее значение. Отрицательное значение длительности приведет к ошибке. |
max_versions |
integer | нет | Количество версий, которые следует хранить. Если не задано, используется максимальная версия, настроенная бэкендом. |
Ответы
204: No Content
DELETE /{kv_v2_mount_path}/metadata/{path}
ID операции: kv-v2-delete-metadata
Настраивает параметры для хранилища KV
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета. |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /{kv_v2_mount_path}/subkeys/{path}
ID операции: kv-v2-read-subkeys
Прочитайте структуру секретной записи из хранилища Key-Value с удаленными значениями.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета. |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
metadata |
object | нет | |
subkeys |
object | нет |
POST /{kv_v2_mount_path}/undelete/{path}
ID операции: kv-v2-undelete-versions
Восстанавливает одну или несколько версий из хранилища KV.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Местонахождение секрета. |
kv_v2_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
versions |
array | нет | Версии для разархивирования. Версии будут восстановлены, и их данные будут возвращаться при обычных запросах get. |
Ответы
204: No Content
GET /{ldap_mount_path}/config
ID операции: ldap-read-configuration
Настроить плагин секретного механизма LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ldap_mount_path}/config
ID операции: ldap-configure
Настроить плагин секретного механизма LDAP.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
anonymous_group_search |
boolean (default: False) | нет | Использовать анонимные привязки при поиске групп LDAP (если true, то исходные учетные данные все равно будут использоваться для первоначальной проверки соединения). |
binddn |
string | нет | LDAP DN для поиска DN пользователя (необязательно) |
bindpass |
string | нет | Пароль LDAP для поиска DN пользователя (необязательно) |
case_sensitive_names |
boolean | нет | Если значение равно true, то при сравнении имен пользователей и групп для сопоставления политик будет использоваться чувствительность к регистру. |
certificate |
string | нет | Сертификат CA для использования при проверке сертификата сервера LDAP, должен быть в кодировке x509 PEM (необязательно) |
client_tls_cert |
string | нет | Сертификат клиента для предоставления серверу LDAP, должен быть закодирован x509 PEM (необязательно) |
client_tls_key |
string | нет | Ключ сертификата клиента для предоставления серверу LDAP, должен быть закодирован x509 PEM (необязательно) |
connection_timeout |
integer (default: 30s) | нет | Тайм-аут (в секундах) при попытке подключения к серверу LDAP перед попыткой перехода к следующему URL-адресу в конфигурации. |
deny_null_bind |
boolean (default: True) | нет | Отклоняет неаутентифицированный запрос привязки LDAP, если пароль пользователя пуст; значение по умолчанию равно true |
dereference_aliases |
string (never, finding, searching, always) (default: never) | нет | Когда псевдонимы должны разыменовываться при операциях поиска. Принимаемые значения: 'никогда', 'находить', 'искать', 'всегда'. По умолчанию установлено значение 'никогда'. |
discoverdn |
boolean | нет | Используйте анонимную привязку, чтобы узнать привязочный DN пользователя (необязательно). |
groupattr |
string (default: cn) | нет | Атрибут LDAP, который следует использовать для объектов, возвращаемых |
groupdn |
string | нет | База поиска LDAP, используемая для поиска членства в группе (например: ou=Groups,dc=example,dc=org) |
groupfilter |
string (default: ( | (memberUid={{.Username}})(member={{.UserDN}})(uniqueMember={{.UserDN}}))) | нет |
insecure_tls |
boolean | нет | Пропустите проверку SSL-сертификата сервера LDAP - ОЧЕНЬ небезопасно (необязательно) |
length |
integer | нет | ⚠️ Устарело. Желаемая длина паролей, которые генерирует Vault. |
max_page_size |
integer (default: 0) | нет | Если установлено значение больше 0, бэкэнд LDAP будет использовать управление постраничным поиском сервера LDAP для запроса страниц до заданного размера. Это можно использовать, чтобы избежать столкновения с ограничением максимального размера результатов сервера LDAP. В противном случае бэкэнд LDAP не будет использовать управление постраничным поиском. |
max_ttl |
integer | нет | Максимальное время жизни пароля. |
password_policy |
string | нет | Политика паролей, используемая для генерации паролей |
request_timeout |
integer (default: 90s) | нет | Таймаут в секундах для соединения при выполнении запросов к серверу до возврата ошибки. |
schema |
string (default: openldap) | нет | Желаемая схема LDAP, используемая при изменении паролей учетных записей пользователей. |
starttls |
boolean | нет | Выполнять команду StartTLS после установления незашифрованного соединения (необязательно). |
tls_max_version |
string (tls10, tls11, tls12, tls13) (default: tls12) | нет | Максимальная версия TLS для использования. Принимаемые значения: 'tls10', 'tls11', 'tls12' или 'tls13'. По умолчанию - 'tls12' |
tls_min_version |
string (tls10, tls11, tls12, tls13) (default: tls12) | нет | Минимальная версия TLS для использования. Принимаемые значения: 'tls10', 'tls11', 'tls12' или 'tls13'. По умолчанию используется значение 'tls12'. |
ttl |
integer | нет | Время жизни пароля по умолчанию. |
upndomain |
string | нет | Разрешает пользователюПринципалДомена входить в систему с [именем пользователя]@UPNDomain (необязательно). |
url |
string (default: ldap://127.0.0.1) | нет | URL-адрес LDAP для подключения (по умолчанию: ldap://127.0.0.1). Можно указать несколько URL-адресов, соединив их запятыми; они будут опробованы в порядке убывания. |
use_pre111_group_cn_behavior |
boolean | нет | В Vault 1.1.1 исправление для обработки значений CN групп в разных случаях, к сожалению, внесло регрессию, которая могла привести к тому, что ранее определенные группы не были найдены из-за изменения результирующего имени. Если установлено значение true, будет использоваться поведение, существовавшее до версии 1.1.1, для соответствия CN групп. Это необходимо только в некоторых сценариях обновления для обратной совместимости. Она включается по умолчанию, если конфигурация обновляется, но отключается по умолчанию в новых конфигурациях. |
use_token_groups |
boolean (default: False) | нет | Если значение true, то для поиска членов групп используется построенный атрибут Active Directory tokenGroups пользователя. При этом будут найдены все группы безопасности, включая вложенные. |
userattr |
string (default: cn) | нет | Атрибут, используемый для пользователей (по умолчанию: cn) |
userdn |
string | нет | Домен LDAP, который будет использоваться для пользователей (например: ou=People,dc=example,dc=org) |
userfilter |
string (default: ({{.UserAttr}}={{.Username}})) | нет | Шаблон Go для фильтра поиска пользователей LDAP (необязательно) Шаблон может обращаться к следующим контекстным переменным: UserAttr, Username По умолчанию: ({{.UserAttr}}={{.Username}}) |
username_as_alias |
boolean (default: False) | нет | Если true, устанавливает имя псевдонима на имя пользователя |
Ответы
200: OK
DELETE /{ldap_mount_path}/config
ID операции: ldap-delete-configuration
Настроить плагин секретного механизма LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{ldap_mount_path}/creds/{name}
ID операции: ldap-request-dynamic-role-credentials
Запросите учетные данные LDAP для динамической роли. Эти учетные данные создаются в системе LDAP при запросе к этой конечной точке.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя динамической роли. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{ldap_mount_path}/library
ID операции: ldap-library-list
Отображает имена каждого набора учетных записей служб, хранящихся в данный момент.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
POST /{ldap_mount_path}/library/manage/{name}/check-in
ID операции: ldap-library-force-check-in
Проверить учетные записи служб в библиотеке.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название набора. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
service_account_names |
array | нет | Имя пользователя/имя входа в систему для учетных записей служб для регистрации. |
Ответы
200: OK
GET /{ldap_mount_path}/library/{name}
ID операции: ldap-library-read
Считывает библиотечный набор.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название набора. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ldap_mount_path}/library/{name}
ID операции: ldap-library-configure
Обновление набора библиотек.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название набора. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disable_check_in_enforcement |
boolean (default: False) | нет | Отключите поведение по умолчанию, требующее, чтобы регистрация выполнялась сущностью, которая ее проверила. |
max_ttl |
integer (default: 86400) | нет | В секундах - максимальное время продления регистрации. По умолчанию - 24 часа. |
service_account_names |
array | нет | Имя пользователя/имя входа для учетных записей служб, с которыми будет связан этот набор. |
ttl |
integer (default: 86400) | нет | В секундах - время, в течение которого будет происходить выезд. По умолчанию - 24 часа. |
Ответы
200: OK
DELETE /{ldap_mount_path}/library/{name}
ID операции: ldap-library-delete
Удаление набора библиотек.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название набора. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{ldap_mount_path}/library/{name}/check-in
ID операции: ldap-library-check-in
Проверить учетные записи служб в библиотеке.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название набора. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
service_account_names |
array | нет | Имя пользователя/имя входа в систему для учетных записей служб для регистрации. |
Ответы
200: OK
POST /{ldap_mount_path}/library/{name}/check-out
ID операции: ldap-library-check-out
Выпишите сервисный счет из библиотеки.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название набора |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ttl |
integer | нет | Продолжительность времени до истечения срока регистрации, в секундах. |
Ответы
200: OK
GET /{ldap_mount_path}/library/{name}/status
ID операции: ldap-library-check-status
Проверка состояния учетных записей служб в наборе библиотек.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название набора. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{ldap_mount_path}/role
ID операции: ldap-list-dynamic-roles
Список всех динамических ролей, которыми в настоящее время управляет Vault в LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{ldap_mount_path}/role/{name}
ID операции: ldap-read-dynamic-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя роли (в нижнем регистре) |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ldap_mount_path}/role/{name}
ID операции: ldap-write-dynamic-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя роли (в нижнем регистре) |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
creation_ldif |
string | да | Строка LDIF, используемая для создания новых сущностей в системе LDAP. Этот LDIF может быть шаблонным. |
default_ttl |
integer | нет | TTL по умолчанию для динамических учетных данных |
deletion_ldif |
string | да | Строка LDIF, используемая для удаления сущностей, созданных в системе LDAP. Этот LDIF может быть шаблонным. |
max_ttl |
integer | нет | Максимальное время TTL динамического мандата может быть увеличено до |
rollback_ldif |
string | нет | LDIF-строка, используемая для отката изменений в случае сбоя при создании учетных данных. Этот LDIF может быть шаблонным. |
username_template |
string | нет | Шаблон, используемый для создания имени пользователя |
Ответы
200: OK
DELETE /{ldap_mount_path}/role/{name}
ID операции: ldap-delete-dynamic-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя роли (в нижнем регистре) |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{ldap_mount_path}/rotate-role/{name}
ID операции: ldap-rotate-static-role
Запрос на изменение учетных данных для статической учетной записи пользователя.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя статической роли |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ldap_mount_path}/rotate-root
ID операции: ldap-rotate-root-credentials
Запросите обновление корневых учетных данных, которые Vault использует для учетной записи администратора LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{ldap_mount_path}/static-cred/{name}
ID операции: ldap-request-static-role-credentials
Запросите учетные данные LDAP для определенной статической роли. Эти учетные данные регулярно обновляются.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя статической роли. |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{ldap_mount_path}/static-role
ID операции: ldap-list-static-roles
Отображает все статические роли, которыми Vault в настоящее время управляет в системе LDAP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{ldap_mount_path}/static-role/{name}
ID операции: ldap-read-static-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ldap_mount_path}/static-role/{name}
ID операции: ldap-write-static-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
dn |
string | нет | Отличительное имя записи, которой нужно управлять. |
rotation_period |
integer | нет | Период автоматической смены учетных данных для данной записи. |
username |
string | нет | Имя пользователя/имя входа для записи, с которой будет связана эта роль. |
Ответы
200: OK
DELETE /{ldap_mount_path}/static-role/{name}
ID операции: ldap-delete-static-role
Управление статическими ролями, которые могут быть созданы с помощью этого бэкенда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
ldap_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{pki_mount_path}/acme/account/{kid}
ID операции: pki-write-acme-account-kid
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kid |
string | path | да | Идентификатор ключа, предоставленный центром сертификации |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/authorization/{auth_id}
ID операции: pki-write-acme-authorization-auth_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/challenge/{auth_id}/{challenge_type}
ID операции: pki-write-acme-challenge-auth_id-challenge_type
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
challenge_type |
string | path | да | Тип вызова ACME |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
GET /{pki_mount_path}/acme/directory
ID операции: pki-read-acme-directory
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/acme/new-account
ID операции: pki-write-acme-new-account
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/new-eab
ID операции: pki-generate-eab-key
Создайте привязки внешней учетной записи для использования в ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_directory |
string | нет | Каталог ACME, которому принадлежит ключ |
created_on |
string | нет | Дата и время в формате RFC3339, когда был создан EAB токен |
id |
string | нет | Идентификатор ключа EAB |
key |
string | нет | Ключ EAB hmac |
key_type |
string | нет | Тип ключа EAB |
GET /{pki_mount_path}/acme/new-nonce
ID операции: pki-read-acme-new-nonce
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/acme/new-order
ID операции: pki-write-acme-new-order
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/order/{order_id}
ID операции: pki-write-acme-order-order_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id |
string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/order/{order_id}/cert
ID операции: pki-write-acme-order-order_id-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id |
string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/order/{order_id}/finalize
ID операции: pki-write-acme-order-order_id-finalize
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id |
string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/orders
ID операции: pki-write-acme-orders
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/acme/revoke-cert
ID операции: pki-write-acme-revoke-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
GET /{pki_mount_path}/ca
ID операции: pki-read-ca-der
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/ca/pem
ID операции: pki-read-ca-pem
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/ca_chain
ID операции: pki-read-ca-chain-pem
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/ca_chain
ID операции: pki-read-cert-ca-chain
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/crl
ID операции: pki-read-cert-crl
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/delta-crl
ID операции: pki-read-cert-delta-crl
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/unified-crl
ID операции: pki-read-cert-unified-crl
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/unified-delta-crl
ID операции: pki-read-cert-unified-delta-crl
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/{serial}
ID операции: pki-read-cert
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
serial |
string | path | да | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/{serial}/raw
ID операции: pki-read-cert-raw-der
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
serial |
string | path | да | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/cert/{serial}/raw/pem
ID операции: pki-read-cert-raw-pem
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
serial |
string | path | да | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/certs
ID операции: pki-list-certs
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | Список ключей |
GET /{pki_mount_path}/certs/revocation-queue
ID операции: pki-list-certs-revocation-queue
Отображает все ожидающие межкластерные отзывы, известные локальному кластеру.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{pki_mount_path}/certs/revoked
ID операции: pki-list-revoked-certs
Список всех отозванных серийных номеров в локальном кластере
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | Список Ключей |
GET /{pki_mount_path}/certs/unified-revoked
ID операции: pki-list-unified-revoked-certs
Отображает все отозванные серийные номера в области унифицированного хранилища этого кластера.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_info |
string | нет | Информация о ключе |
keys |
array | нет | Список Ключей |
GET /{pki_mount_path}/config/acme
ID операции: pki-read-acme-configuration
Конфигурация конечных точек ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/config/acme
ID операции: pki-configure-acme
Конфигурация конечных точек ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_role_ext_key_usage |
boolean (default: False) | нет | используется ли поле ExtKeyUsage из роли, по умолчанию false означает, что сертификат будет подписан с помощью ServerAuth. |
allowed_issuers |
array (default: ['*']) | нет | какие эмитенты разрешены для использования с ACME; по умолчанию это будет только основной (по умолчанию) эмитент |
allowed_roles |
array (default: ['*']) | нет | какие роли разрешены для использования с ACME; по умолчанию через '*' это будут все роли, включая sign-verbatim; когда указаны конкретные имена ролей, должна быть включена роль default_directory_policy, чтобы разрешить использование стандартных каталогов acme в /pki/acme/directory и /pki/issuer/:issuer_id/acme/directory. |
default_directory_policy |
string (default: sign-verbatim) | нет | политика, которая будет использоваться для запросов ACME без ролевых квалификаций; по умолчанию выдача ACME будет неограниченной, эквивалентной конечной точке sign-verbatim; можно также указать роль для использования в качестве этой политики, как "role: |
dns_resolver |
string (default: ) | нет | DNS-резольвер, используемый для разрешения доменов на этом монтировании. По умолчанию используется системный резолвер по умолчанию. Должен иметь формат |
eab_policy |
string (default: always-required) | нет | Укажите политику, которая будет использоваться для поведения привязки внешнего аккаунта: "не требуется", "требуется для нового аккаунта" или "требуется всегда". |
enabled |
boolean (default: False) | нет | включена ли поддержка ACME, по умолчанию false означает, что кластеры по умолчанию не будут получать поддержку ACME |
Ответы
200: OK
GET /{pki_mount_path}/config/auto-tidy
ID операции: pki-read-auto-tidy-configuration
Изменяет текущую конфигурацию для автоматического выполнения tidy.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_safety_buffer |
integer | нет | Буфер безопасности после создания, после которого аккаунты, у которых нет заказов, будут отозваны |
enabled |
boolean | нет | Указывает, включена ли автоматическая чистка |
interval_duration |
integer | нет | Указывает продолжительность между автоматической операцией чистки |
issuer_safety_buffer |
integer | нет | Буфер безопасности издателя |
maintain_stored_certificate_counts |
boolean | нет | |
pause_duration |
string | нет | Время паузы между упорядочиванием сертификатов |
publish_stored_certificate_count_metrics |
boolean | нет | |
revocation_queue_safety_buffer |
integer | нет | |
safety_buffer |
integer | нет | Длительность временного буфера безопасности |
tidy_acme |
boolean | нет | Очистка неиспользуемых аккаунтов и заказов Acme |
tidy_cert_store |
boolean | нет | Указывает, следует ли организовать хранилище сертификатов |
tidy_cross_cluster_revoked_certs |
boolean | нет | |
tidy_expired_issuers |
boolean | нет | Указывает, были ли вычищены истекшие издатели |
tidy_move_legacy_ca_bundle |
boolean | нет | |
tidy_revocation_queue |
boolean | нет | |
tidy_revoked_cert_issuer_associations |
boolean | нет | Указывает, следует ли связывать отозванные сертификаты с их соответствующими издателями |
tidy_revoked_certs |
boolean | нет | Указывает, следует ли удалять из хранилища все недействительные и истекшие сертификаты |
POST /{pki_mount_path}/config/auto-tidy
ID операции: pki-configure-auto-tidy
Изменяет текущую конфигурацию для автоматического выполнения tidy.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_safety_buffer |
integer (default: 2592000) | нет | Количество времени, которое должно пройти после создания, чтобы аккаунт, не имеющий заказов, был помечен как отозванный, а также количество времени после того, как он был помечен как отозванный или деактивированный. |
enabled |
boolean | нет | Установите значение true, чтобы включить автоматическое наведение порядка. |
interval_duration |
integer (default: 43200) | нет | Интервал, через который следует выполнять операцию автоочистки. Это время между вызовами автоочистки (после завершения одной до начала следующей). Запуск ручной уборки сбросит эту длительность. |
issuer_safety_buffer |
integer (default: 31536000) | нет | Количество дополнительного времени, которое должно пройти после истечения срока действия эмитента, прежде чем он будет удален из внутреннего хранилища. По умолчанию 8760 часов (1 год). |
maintain_stored_certificate_counts |
boolean (default: False) | нет | Здесь настраивается, подсчитываются ли хранящиеся сертификаты при инициализации бэкенда, а также ведется ли текущий подсчет хранящихся сертификатов во время нормальной работы. |
pause_duration |
string (default: 0s) | нет | Количество времени ожидания между сертификатами обработки. Это позволяет операторам изменять профиль выполнения tidy, чтобы он потреблял меньше ресурсов, замедляя время выполнения. Обратите внимание, что весь список сертификатов будет храниться в памяти в течение всей операции tidy, но ресурсы для чтения/обработки/обновления существующих записей будут распределены на больший промежуток времени. По умолчанию это ноль секунд. |
publish_stored_certificate_count_metrics |
boolean (default: False) | нет | Это настраивает, будет ли хранимый счетчик сертификатов публиковаться потребителю метрик. Это не влияет на то, поддерживается ли хранимый счетчик сертификатов, и если поддерживается, то он будет доступен на конечной точке tidy-status. |
revocation_queue_safety_buffer |
integer (default: 172800) | нет | Количество времени, которое должно пройти с момента инициирования межкластерного запроса на отзыв до момента, когда он будет отправлен на удаление. Слишком низкое значение этого параметра может привести к удалению действительных запросов на отзыв до того, как кластер-владелец успеет их обработать, особенно если кластер находится в автономном режиме. |
safety_buffer |
integer (default: 259200) | нет | Количество дополнительного времени, которое должно пройти после истечения срока действия сертификата, чтобы он был удален из внутреннего хранилища и/или списка отзыва. По умолчанию 72 часа. |
tidy_acme |
boolean (default: False) | нет | Установите значение true, чтобы включить очистку счетов, заказов и авторизаций ACME. Заказы ACME убираются (удаляются) safety_buffer после истечения срока действия связанного с ними сертификата, или после истечения срока действия заказа и соответствующих авторизаций, если сертификат не был изготовлен. Авторизации удаляются вместе с соответствующим заказом. Когда возраст действующего аккаунта ACME составляет не менее acme_account_safety_buffer, и у него не остается связанных с ним заказов, аккаунт помечается как отозванный. После того как с даты отзыва или деактивации пройдет еще один буфер безопасности acme_account_safety_buffer, отозванный или деактивированный аккаунт ACME удаляется. |
tidy_cert_store |
boolean | нет | Установите значение true, чтобы разрешить очистку хранилища сертификатов |
tidy_cross_cluster_revoked_certs |
boolean | нет | Установите значение true, чтобы включить очистку межкластерного хранилища отозванных сертификатов. Запускается только на активном основном узле. |
tidy_expired_issuers |
boolean | нет | Установите значение true для автоматического удаления истекших эмитентов из буфера issuer_safety_buffer. Никакие ключи не будут удалены в ходе этой операции. |
tidy_move_legacy_ca_bundle |
boolean | нет | Установите значение true, чтобы переместить устаревший ca_bundle из /config/ca_bundle в /config/ca_bundle.bak. Это предотвращает переход на версии до Vault 1.11 (поскольку старые PKI-движки не знают о новой схеме хранения нескольких эмитентов), но улучшает производительность при монтировании PKI с печатью. Это произойдет только в том случае, если после первоначального переноса хранилища прошло не менее issuer_safety_buffer времени. Этот резерв сохраняется на случай возникновения проблем в будущих миграциях. При желании операторы могут удалить ее через sys/raw. Резервная копия будет удалена вызовом DELETE /root, но обратите внимание, что при этом удаляются ВСЕ эмитенты в пределах монтирования (и, следовательно, это нежелательно в большинстве сценариев работы). |
tidy_revocation_list |
boolean | нет | Утратил силу; синоним для 'tidy_revoked_certs |
tidy_revocation_queue |
boolean (default: False) | нет | Установите значение true, чтобы удалить устаревшие записи очереди отзыва, которые не были подтверждены ни одним активным кластером. Запускается только на активном основном узле |
tidy_revoked_cert_issuer_associations |
boolean | нет | Установите значение true для проверки ассоциаций эмитентов в записях отзыва. Это помогает повысить производительность создания CRL и ответов OCSP. |
tidy_revoked_certs |
boolean | нет | Установите значение true, чтобы прекратить действие всех отозванных и просроченных сертификатов, удалив их как из CRL, так и из хранилища. CRL будет ротирован, если это приведет к удалению каких-либо значений. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_safety_buffer |
integer | нет | Буфер безопасности после создания, после которого аккаунты, у которых нет заказов, будут отозваны |
enabled |
boolean | нет | Указывает, включена ли автоматическая чистка |
interval_duration |
integer | нет | Указывает продолжительность между автоматической операцией чистки |
issuer_safety_buffer |
integer | нет | Буфер безопасности издателя |
maintain_stored_certificate_counts |
boolean | нет | |
pause_duration |
string | нет | Время паузы между упорядочиванием сертификатов |
publish_stored_certificate_count_metrics |
boolean | нет | |
revocation_queue_safety_buffer |
integer | нет | |
safety_buffer |
integer | нет | Длительность временного буфера безопасности |
tidy_acme |
boolean | нет | Очистка неиспользуемых аккаунтов и заказов Acme |
tidy_cert_store |
boolean | нет | Указывает, следует ли организовать хранилище сертификатов |
tidy_cross_cluster_revoked_certs |
boolean | нет | Очистка кросс-кластерного хранилища отозванных сертификатов |
tidy_expired_issuers |
boolean | нет | Указывает, были ли вычищены истекшие издатели |
tidy_move_legacy_ca_bundle |
boolean | нет | |
tidy_revocation_queue |
boolean | нет | |
tidy_revoked_cert_issuer_associations |
boolean | нет | Указывает, следует ли связывать отозванные сертификаты с их соответствующими издателями |
tidy_revoked_certs |
boolean | нет | Указывает, следует ли удалять из хранилища все недействительные и истекшие сертификаты |
POST /{pki_mount_path}/config/ca
ID операции: pki-configure-ca
Установите сертификат CA и закрытый ключ, используемые для сгенерированных учетных данных.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pem_bundle |
string | нет | Конкатенированный незашифрованный секретный ключ и сертификат в формате PEM. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
existing_issuers |
array | нет | Существующие издатели, указанные как часть импортируемого пакета этого запроса |
existing_keys |
array | нет | Существующие ключи, указанные как часть импортируемого пакета этого запроса |
imported_issuers |
array | нет | Совсем новые издатели, импортированные в рамках этого запроса |
imported_keys |
array | нет | Совсем новые ключи, импортированные в рамках этого запроса |
mapping |
object | нет | Отображение issuer_id в key_id для всех издателей, включённых в этот запрос |
GET /{pki_mount_path}/config/cluster
ID операции: pki-read-cluster-configuration
Настройте конфигурацию локального кластера, включая адрес этого PR-кластера.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
aia_path |
string | нет | Необязательный URI точки распространения AIA этого монтирования; может ссылаться на внешний не Vault-ответчик. Предназначен для разрешения AIA URL и предоставления параметра шаблона {{cluster_aia_path}} и не будет использоваться для других целей. В отличие от пути выше, это может быть небезопасный транзитный механизм (например, HTTP без TLS). Например: http://cdn.example.com/pr1/pki |
path |
string | нет | Канонический URI этого монтирования на внешнем адресе кластера репликации производительности. Он используется для разрешения URL-адресов AIA и предоставления параметра шаблона {{cluster_path}}, но в будущем может быть использован для других целей. Этот адрес должен указывать только на данную конкретную реплику PR и никогда не должен указывать на другой кластер PR. Он может указывать на любой узел в реплике PR, включая резервные узлы, и не всегда должен указывать на активный узел. Например: https://pr1.vault.example.com:8200/v1/pki |
POST /{pki_mount_path}/config/cluster
ID операции: pki-configure-cluster
Настройте конфигурацию локального кластера, включая адрес этого PR-кластера.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
aia_path |
string | нет | Необязательный URI точки распространения AIA этого монтирования; может ссылаться на внешний не Vault-ответчик. Предназначен для разрешения AIA URL и предоставления параметра шаблона {{cluster_aia_path}} и не будет использоваться для других целей. В отличие от пути выше, это может быть небезопасный транзитный механизм (например, HTTP без TLS). Например: http://cdn.example.com/pr1/pki |
path |
string | нет | Канонический URI этого монтирования на внешнем адресе кластера репликации производительности. Он используется для разрешения URL-адресов AIA и предоставления параметра шаблона {{cluster_path}}, но в будущем может быть использован для других целей. Этот адрес должен указывать только на данную конкретную реплику PR и никогда не должен указывать на другой кластер PR. Он может указывать на любой узел в реплике PR, включая резервные узлы, и не всегда должен указывать на активный узел. Например: https://pr1.vault.example.com:8200/v1/pki |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
aia_path |
string | нет | Необязательный URI точки распространения AIA этого монтирования; может ссылаться на внешний не Vault-ответчик. Предназначен для разрешения AIA URL и предоставления параметра шаблона {{cluster_aia_path}} и не будет использоваться для других целей. В отличие от пути выше, это может быть небезопасный транзитный механизм (например, HTTP без TLS). Например: http://cdn.example.com/pr1/pki |
path |
string | нет | Канонический URI этого монтирования на внешнем адресе кластера репликации производительности. Он используется для разрешения URL-адресов AIA и предоставления параметра шаблона {{cluster_path}}, но в будущем может быть использован для других целей. Этот адрес должен указывать только на данную конкретную реплику PR и никогда не должен указывать на другой кластер PR. Он может указывать на любой узел в реплике PR, включая резервные узлы, и не всегда должен указывать на активный узел. Например: https://pr1.vault.example.com:8200/v1/pki |
GET /{pki_mount_path}/config/crl
ID операции: pki-read-crl-configuration
Настроить срок истечения CRL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
auto_rebuild |
boolean | нет | Если установлено значение true, включается автоматическое восстановление CRL |
auto_rebuild_grace_period |
string | нет | Время до истечения срока действия CRL для его автоматического восстановления, если оно включено. Должно быть меньше, чем срок действия CRL. По умолчанию 12 часов. |
cross_cluster_revocation |
boolean | нет | Включать ли глобальную, кросс-кластерную очередь отзыва. Должно использоваться с auto_rebuild=true. |
delta_rebuild_interval |
string | нет | Время между дельта-перестройками CRL, если произошел новый отзыв. Должно быть меньше, чем срок действия CRL. По умолчанию 15 м. |
disable |
boolean | нет | Если установлено значение true, генерация CRL полностью отключается. |
enable_delta |
boolean | нет | Включать ли дельта CRL между перестройками авторитетных CRL |
expiry |
string | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа |
ocsp_disable |
boolean | нет | Если установлено значение true, будут возвращаться неавторизованные ответы ocsp. |
ocsp_expiry |
string | нет | Время, в течение которого ответ OCSP будет действителен (контролирует поле NextUpdate); по умолчанию - 12 часов |
unified_crl |
boolean | нет | Если установлено значение true, включается глобальная репликация записей отзыва, а также включается унифицированная версия OCSP и CRL, если соответствующие функции включены. disable для CRL и ocsp_disable для OCSP. |
unified_crl_on_existing_paths |
boolean | нет | Если установлено значение true, существующие пути CRL и OCSP будут возвращать унифицированный CRL вместо ответа, основанного на локальных данных кластера. |
POST /{pki_mount_path}/config/crl
ID операции: pki-configure-crl
Настроить срок истечения CRL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
auto_rebuild |
boolean | нет | Если установлено значение true, включается автоматическое восстановление CRL |
auto_rebuild_grace_period |
string (default: 12h) | нет | Время до истечения срока действия CRL для его автоматического восстановления, если оно включено. Должно быть меньше, чем срок действия CRL. По умолчанию 12 часов. |
cross_cluster_revocation |
boolean | нет | Включать ли глобальную, кросс-кластерную очередь отзыва. Должно использоваться с auto_rebuild=true. |
delta_rebuild_interval |
string (default: 15m) | нет | Время между дельта-перестройками CRL, если произошел новый отзыв. Должно быть меньше, чем срок действия CRL. По умолчанию 15 м. |
disable |
boolean | нет | Если установлено значение true, генерация CRL полностью отключается. |
enable_delta |
boolean | нет | Включать ли дельта CRL между перестройками авторитетных CRL |
expiry |
string (default: 72h) | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа |
ocsp_disable |
boolean | нет | Если установлено значение true, будут возвращаться неавторизованные ответы ocsp. |
ocsp_expiry |
string (default: 1h) | нет | Время, в течение которого ответ OCSP будет действителен (контролирует поле NextUpdate); по умолчанию - 12 часов |
unified_crl |
boolean (default: false) | нет | Если установлено значение true, включается глобальная репликация записей отзыва, а также включается унифицированная версия OCSP и CRL, если соответствующие функции включены. disable для CRL и ocsp_disable для OCSP. |
unified_crl_on_existing_paths |
boolean (default: false) | нет | Если установлено значение true, существующие пути CRL и OCSP будут возвращать унифицированный CRL вместо ответа, основанного на локальных данных кластера. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
auto_rebuild |
boolean | нет | Если установлено значение true, включается автоматическое восстановление CRL |
auto_rebuild_grace_period |
string (default: 12h) | нет | Время до истечения срока действия CRL для его автоматического восстановления, если оно включено. Должно быть меньше, чем срок действия CRL. По умолчанию 12 часов. |
cross_cluster_revocation |
boolean | нет | Включать ли глобальную, кросс-кластерную очередь отзыва. Должно использоваться с auto_rebuild=true. |
delta_rebuild_interval |
string (default: 15m) | нет | Время между дельта-перестройками CRL, если произошел новый отзыв. Должно быть меньше, чем срок действия CRL. По умолчанию 15 м. |
disable |
boolean | нет | Если установлено значение true, генерация CRL полностью отключается. |
enable_delta |
boolean | нет | Включать ли дельта CRL между перестройками авторитетных CRL |
expiry |
string (default: 72h) | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа |
ocsp_disable |
boolean | нет | Если установлено значение true, будут возвращаться неавторизованные ответы ocsp. |
ocsp_expiry |
string (default: 1h) | нет | Время, в течение которого ответ OCSP будет действителен (контролирует поле NextUpdate); по умолчанию - 12 часов |
unified_crl |
boolean | нет | Если установлено значение true, включается глобальная репликация записей отзыва, а также включается унифицированная версия OCSP и CRL, если соответствующие функции включены. disable для CRL и ocsp_disable для OCSP. |
unified_crl_on_existing_paths |
boolean | нет | Если установлено значение true, существующие пути CRL и OCSP будут возвращать унифицированный CRL вместо ответа, основанного на локальных данных кластера. |
GET /{pki_mount_path}/config/issuers
ID операции: pki-read-issuers-configuration
Считывание и установка сертификата эмитента по умолчанию для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию. |
default_follows_latest_issuer |
boolean | нет | Должен ли эмитент по умолчанию автоматически следовать последнему сгенерированному или импортированному эмитенту. По умолчанию имеет значение false. |
POST /{pki_mount_path}/config/issuers
ID операции: pki-configure-issuers
Считывание и установка сертификата эмитента по умолчанию для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию. |
default_follows_latest_issuer |
boolean (default: False) | нет | Должен ли эмитент по умолчанию автоматически следовать последнему сгенерированному или импортированному эмитенту. По умолчанию имеет значение false. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию. |
default_follows_latest_issuer |
boolean | нет | Должен ли эмитент по умолчанию автоматически следовать последнему сгенерированному или импортированному эмитенту. По умолчанию имеет значение false. |
GET /{pki_mount_path}/config/keys
ID операции: pki-read-keys-configuration
Считывание и установка ключа по умолчанию, используемого для подписи
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию. |
POST /{pki_mount_path}/config/keys
ID операции: pki-configure-keys
Считывание и установка ключа по умолчанию, используемого для подписи
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string | нет | Ссылка (имя или идентификатор) на ключ по умолчанию. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию. |
GET /{pki_mount_path}/config/urls
ID операции: pki-read-urls-configuration
Установите URL-адреса для выдачи CA, точек распространения CRL и серверов OCSP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_distribution_points |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута точек распространения CRL. См. также RFC 5280 Раздел 4.2.1.13. |
enable_templating |
boolean | нет | Включить ли шаблонирование вышеуказанных полей AIA. Когда включено шаблонирование, специальные значения '{{issuer_id}}' и '{{cluster_path}}' доступны, но адреса не проверяются на допустимость URI до момента выдачи. Это требует установки пути /config/cluster на всех вторичных кластерах PR. |
issuing_certificates |
array | нет | Разделенный запятыми список URL-адресов, которые будут использоваться для атрибута выдавшего сертификат. См. также RFC 5280 Раздел 4.2.2.1. |
ocsp_servers |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута OCSP-серверов. См. также RFC 5280 Раздел 4.2.2.1. |
POST /{pki_mount_path}/config/urls
ID операции: pki-configure-urls
Установите URL-адреса для выдачи CA, точек распространения CRL и серверов OCSP.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_distribution_points |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута точек распространения CRL. См. также RFC 5280 Раздел 4.2.1.13. |
enable_templating |
boolean (default: False) | нет | Включать или не включать шаблонизацию вышеуказанных полей AIA. Когда шаблонизация включена, специальные значения '{{issuer_id}}, '{{cluster_path}}' и '{{cluster_aia_path}}' доступны, но адреса не проверяются на валидность URI до момента выдачи. Использование '{{cluster_path}}' требует, чтобы член /config/cluster 'path' был установлен на всех кластерах PR Secondary, а использование '{{cluster_aia_path}}' требует, чтобы член /config/cluster 'aia_path' был установлен на всех кластерах PR Secondary. |
issuing_certificates |
array | нет | Разделенный запятыми список URL-адресов, которые будут использоваться для атрибута выдавшего сертификат. См. также RFC 5280 Раздел 4.2.2.1. |
ocsp_servers |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута OCSP-серверов. См. также RFC 5280 Раздел 4.2.2.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_distribution_points |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута точек распространения CRL. См. также RFC 5280 Раздел 4.2.1.13. |
enable_templating |
boolean (default: False) | нет | Включить ли шаблонирование упомянутых выше полей AIA. Когда шаблонирование включено, доступны специальные значения '{{issuer_id}}' и '{{cluster_path}}', но адреса не проверяются на допустимость URI до момента выдачи. Для этого необходимо задать путь /config/cluster на всех вторичных кластерах PR. |
issuing_certificates |
array | нет | Разделенный запятыми список URL-адресов, которые будут использоваться для атрибута выдавшего сертификат. См. также RFC 5280 Раздел 4.2.2.1. |
ocsp_servers |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута OCSP-серверов. См. также RFC 5280 Раздел 4.2.2.1. |
GET /{pki_mount_path}/crl
ID операции: pki-read-crl-der
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/crl/delta
ID операции: pki-read-crl-delta
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/crl/delta/pem
ID операции: pki-read-crl-delta-pem
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/crl/pem
ID операции: pki-read-crl-pem
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
string | нет | Выдающая Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор издателя |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC 3339 |
GET /{pki_mount_path}/crl/rotate
ID операции: pki-rotate-crl
Принудительное восстановление CRL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
success |
boolean | нет | Была ли успешной ротация |
GET /{pki_mount_path}/crl/rotate-delta
ID операции: pki-rotate-delta-crl
Принудительное восстановление дельта CRL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
success |
boolean | нет | Была ли успешной ротация |
GET /{pki_mount_path}/eab
ID операции: pki-list-eab-keys
список привязок внешних аккаунтов для использования в ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_info |
object | нет | Подробности EAB, обозначенные по идентификатору ключа eab |
keys |
array | нет | Список неиспользованных EAB ключей |
DELETE /{pki_mount_path}/eab/{key_id}
ID операции: pki-delete-eab-key
Удаляет внешний идентификатор привязки учетной записи до его использования в учетной записи ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
key_id |
string | path | да | Ключевой идентификатор ВЦВ |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{pki_mount_path}/intermediate/cross-sign
ID операции: pki-cross-sign-intermediate
Создайте новую CSR и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
add_basic_constraints |
boolean | нет | Добавлять ли расширение Basic Constraints с CA: true. Необходимо только в качестве обходного пути в некоторых сценариях совместимости со службами сертификации Active Directory. |
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
exported |
string (internal, external, kms) | нет | Должно быть "internal", "exported" или "kms". Если установлено значение "exported", будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ! |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name |
string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением 'default'. |
key_ref |
string (default: default) | нет | Ссылка на существующий ключ; либо "default" для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу. |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec" и "ed25519" - единственные допустимые значения. |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение. |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение. |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение. |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение. |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
province |
array | нет | Если установлено, Province будет установлена на это значение. |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
csr |
string | нет | Запрос на подпись сертификата. |
key_id |
string | нет | Идентификатор ключа. |
private_key |
string | нет | Сгенерированный закрытый ключ. |
private_key_type |
string | нет | Указывает формат, используемый для организации закрытого ключа. |
POST /{pki_mount_path}/intermediate/generate/{exported}
ID операции: pki-generate-intermediate
Создайте новую CSR и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
exported |
string (internal, external, kms) | path | да | Должно быть "internal", "exported" или "kms". Если установлено значение "exported", будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ! |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
add_basic_constraints |
boolean | нет | Добавлять ли расширение Basic Constraints с CA: true. Необходимо только в качестве обходного пути в некоторых сценариях совместимости со службами сертификации Active Directory. |
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name |
string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением 'default'. |
key_ref |
string (default: default) | нет | Ссылка на существующий ключ; либо "default" для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу. |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec" и "ed25519" - единственные допустимые значения. |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение. |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение. |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение. |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение. |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
province |
array | нет | Если установлено, Province будет установлена на это значение. |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
csr |
string | нет | Запрос на подпись сертификата. |
key_id |
string | нет | Идентификатор ключа. |
private_key |
string | нет | Сгенерированный закрытый ключ. |
private_key_type |
string | нет | Указывает формат, используемый для организации закрытого ключа. |
POST /{pki_mount_path}/intermediate/set-signed
ID операции: pki-set-signed-intermediate
Предоставьте подписанный промежуточный сертификат CA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сертификат в формате PEM. Это должен быть сертификат ЦС с открытым ключом, совпадающим с ранее сгенерированным ключом с конечной точки генерации. Дополнительные родительские ЦС могут быть добавлены в пакет по желанию. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
existing_issuers |
array | нет | Существующие издатели, указанные как часть импортируемого пакета этого запроса |
existing_keys |
array | нет | Существующие ключи, указанные как часть импортируемого пакета этого запроса |
imported_issuers |
array | нет | Совсем новые издатели, импортированные в рамках этого запроса |
imported_keys |
array | нет | Совсем новые ключи, импортированные в рамках этого запроса |
mapping |
object | нет | Отображение issuer_id в key_id для всех издателей, включённых в этот запрос |
POST /{pki_mount_path}/issue/{role}
ID операции: pki-issue-with-role
Запросите сертификат, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_ref |
string (default: default) | нет | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
GET /{pki_mount_path}/issuer/{issuer_ref}
ID операции: pki-read-issuer
Получение сертификата одного эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка CA |
certificate |
string | нет | Сертификат |
crl_distribution_points |
array | нет | Точки распространения CRL |
enable_aia_url_templating |
boolean | нет | Включено ли шаблонирование для полей AIA |
issuer_id |
string | нет | Идентификатор Издателя |
issuer_name |
string | нет | Имя Издателя |
issuing_certificates |
array | нет | Выдача Сертификатов |
key_id |
string | нет | Идентификатор Ключа |
leaf_not_after_behavior |
string | нет | Поведение Листа Не После |
manual_chain |
array | нет | Ручная цепочка |
ocsp_servers |
array | нет | OCSP-серверы |
revocation_signature_algorithm |
string | нет | Revocation Signature Alogrithm |
revocation_time |
integer | нет | |
revocation_time_rfc3339 |
string | нет | |
revoked |
boolean | нет | Отменен |
usage |
string | нет | Использование |
POST /{pki_mount_path}/issuer/{issuer_ref}
ID операции: pki-write-issuer
Получение сертификата одного эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_distribution_points |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута точек распространения CRL. См. также RFC 5280 Раздел 4.2.1.13. |
enable_aia_url_templating |
boolean (default: False) | нет | Включать или не включать шаблонизацию вышеуказанных полей AIA. Когда шаблонизация включена, специальные значения '{{issuer_id}}, '{{cluster_path}}', '{{cluster_aia_path}}' доступны, но адреса не проверяются на валидность URL до момента выдачи. Использование '{{cluster_path}}' требует, чтобы член /config/cluster 'path' был установлен на всех кластерах PR Secondary, а использование '{{cluster_aia_path}}' требует, чтобы член /config/cluster 'aia_path' был установлен на всех кластерах PR Secondary. |
issuer_name |
string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением 'default'. |
issuing_certificates |
array | нет | Разделенный запятыми список URL-адресов, которые будут использоваться для атрибута выдавшего сертификат. См. также RFC 5280 Раздел 4.2.2.1. |
leaf_not_after_behavior |
string (default: err) | нет | Поведение полей NotAfter листа: "err" - ошибка, если вычисленная дата NotAfter превышает дату данного эмитента; "truncate" - молчаливое усечение до даты данного эмитента; или "permit" - разрешение на успешную выдачу (с NotAfter, превышающей дату данного эмитента). Обратите внимание, что не все значения приводят к сертификатам, которые могут быть проверены в течение всего срока действия. Рекомендуется использовать "truncate" для промежуточных ЦС и "permit" только для корневых ЦС. |
manual_chain |
array | нет | Цепочка ссылок на эмитента, используемая для построения вычисляемого поля CAChain этого эмитента, если она не пуста. |
ocsp_servers |
array | нет | Список URL-адресов, разделенных запятыми, который будет использоваться для атрибута OCSP-серверов. См. также RFC 5280 Раздел 4.2.2.1. |
revocation_signature_algorithm |
string (default: ) | нет | Имя x509.SignatureAlgorithm, которое будет использоваться для подписания CRL. Этот параметр позволяет различать ключи PKCS#1v1.5 и PSS и выбирать хэш-алгоритм подписи. По умолчанию (пустая строка) Go должен сам выбрать алгоритм подписи. Это может привести к ошибке, если базовый ключ не поддерживает запрашиваемый алгоритм подписи, который может быть неизвестен на момент модификации (например, в случае ключей RSA с управлением PKCS#11). |
usage |
array (default: ['read-only', 'issuing-certificates', 'crl-signing', 'ocsp-signing']) | нет | Разделенный запятыми список (или фрагмент строки) применений для данного эмитента; допустимые значения: "только для чтения", "выдача сертификатов", "crl-подписание" и "ocsp-подписание". Можно указать несколько значений. Значение "только для чтения" является неявным и всегда устанавливается. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка CA |
certificate |
string | нет | Сертификат |
crl_distribution_points |
array | нет | Точки распространения CRL |
enable_aia_url_templating |
boolean | нет | Включено ли шаблонирование для полей AIA |
issuer_id |
string | нет | Идентификатор Издателя |
issuer_name |
string | нет | Имя Издателя |
issuing_certificates |
array | нет | Выдача Сертификатов |
key_id |
string | нет | Идентификатор Ключа |
leaf_not_after_behavior |
string | нет | Поведение Листа Не После |
manual_chain |
array | нет | Ручная цепочка |
ocsp_servers |
array | нет | OCSP-серверы |
revocation_signature_algorithm |
string | нет | Revocation Signature Alogrithm |
revocation_time |
integer | нет | |
revocation_time_rfc3339 |
string | нет | |
revoked |
boolean | нет | Отменен |
usage |
string | нет | Использование |
DELETE /{pki_mount_path}/issuer/{issuer_ref}
ID операции: pki-delete-issuer
Получение сертификата одного эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/account/{kid}
ID операции: pki-write-issuer-issuer_ref-acme-account-kid
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
kid |
string | path | да | Идентификатор ключа, предоставленный центром сертификации |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/authorization/{auth_id}
ID операции: pki-write-issuer-issuer_ref-acme-authorization-auth_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/challenge/{auth_id}/{challenge_type}
ID операции: pki-write-issuer-issuer_ref-acme-challenge-auth_id-challenge_type
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
challenge_type |
string | path | да | Тип вызова ACME |
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
GET /{pki_mount_path}/issuer/{issuer_ref}/acme/directory
ID операции: pki-read-issuer-issuer_ref-acme-directory
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/new-account
ID операции: pki-write-issuer-issuer_ref-acme-new-account
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/new-eab
ID операции: pki-generate-eab-key-for-issuer
Создайте привязки внешней учетной записи для использования в ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_directory |
string | нет | Каталог ACME, которому принадлежит ключ |
created_on |
string | нет | Дата и время в формате RFC3339, когда был создан EAB токен |
id |
string | нет | Идентификатор ключа EAB |
key |
string | нет | Ключ EAB hmac |
key_type |
string | нет | Тип ключа EAB |
GET /{pki_mount_path}/issuer/{issuer_ref}/acme/new-nonce
ID операции: pki-read-issuer-issuer_ref-acme-new-nonce
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/new-order
ID операции: pki-write-issuer-issuer_ref-acme-new-order
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/order/{order_id}
ID операции: pki-write-issuer-issuer_ref-acme-order-order_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id |
string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/order/{order_id}/cert
ID операции: pki-write-issuer-issuer_ref-acme-order-order_id-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id |
string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/order/{order_id}/finalize
ID операции: pki-write-issuer-issuer_ref-acme-order-order_id-finalize
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id |
string | path | да | Идентификатор заказа ACME для получения |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/orders
ID операции: pki-write-issuer-issuer_ref-acme-orders
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/acme/revoke-cert
ID операции: pki-write-issuer-issuer_ref-acme-revoke-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
GET /{pki_mount_path}/issuer/{issuer_ref}/crl
ID операции: pki-issuer-read-crl
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/delta
ID операции: pki-issuer-read-crl-delta
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/delta/der
ID операции: pki-issuer-read-crl-delta-der
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/delta/pem
ID операции: pki-issuer-read-crl-delta-pem
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/der
ID операции: pki-issuer-read-crl-der
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/crl/pem
ID операции: pki-issuer-read-crl-pem
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/der
ID операции: pki-read-issuer-der
Получение сертификата одного эмитента.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор Издателя |
issuer_name |
string | нет | Имя Издателя |
304: Не изменено
POST /{pki_mount_path}/issuer/{issuer_ref}/issue/{role}
ID операции: pki-issuer-issue-with-role
Запросите сертификат, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
role |
string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
GET /{pki_mount_path}/issuer/{issuer_ref}/json
ID операции: pki-read-issuer-json
Получение сертификата одного эмитента.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор Издателя |
issuer_name |
string | нет | Имя Издателя |
304: Не изменено
GET /{pki_mount_path}/issuer/{issuer_ref}/pem
ID операции: pki-read-issuer-pem
Получение сертификата одного эмитента.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка CA |
certificate |
string | нет | Сертификат |
issuer_id |
string | нет | Идентификатор Издателя |
issuer_name |
string | нет | Имя Издателя |
304: Не изменено
POST /{pki_mount_path}/issuer/{issuer_ref}/resign-crls
ID операции: pki-issuer-resign-crls
Объедините и подпишите с предоставленным издателем разные CRL
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_number |
integer | нет | Порядковый номер, который будет записан в расширении CRL Number. |
crls |
array | нет | Список СОС в кодировке PEM для объединения, первоначально подписанных запрашиваемым эмитентом. |
delta_crl_base_number |
integer (default: -1) | нет | Использование нуля или большего значения определяет базовый номер ревизии CRL для кодирования в расширении индикатора Delta CRL, иначе расширение не будет добавлено. |
format |
string (default: pem) | нет | Формат комбинированного CRL, может быть "pem" или "der". Если "der", значение будет закодировано в base64. По умолчанию - "pem". |
next_update |
string (default: 72h) | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет | CRL |
POST /{pki_mount_path}/issuer/{issuer_ref}/revoke
ID операции: pki-revoke-issuer
Отмена указанного сертификата эмитента.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Центра Сертификации |
certificate |
string | нет | Сертификат |
crl_distribution_points |
array | нет | Указывает значения URL для поля Точки распространения CRL |
issuer_id |
string | нет | Идентификатор издателя |
issuer_name |
string | нет | Имя издателя |
issuing_certificates |
array | нет | Указывает значения URL для поля Выдающий сертификат |
key_id |
string | нет | Идентификатор ключа |
leaf_not_after_behavior |
string | нет | |
manual_chain |
array | нет | Ручная цепочка |
ocsp_servers |
array | нет | Указывает значения URL для поля Серверы OCSP |
revocation_signature_algorithm |
string | нет | Какой алгоритм подписи использовать при создании CRL |
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва в формате RFC |
revoked |
boolean | нет | Был ли издатель отозван |
usage |
string | нет | Допустимое использование |
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/account/{kid}
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-account-kid
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
kid |
string | path | да | Идентификатор ключа, предоставленный центром сертификации |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/authorization/{auth_id}
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-authorization-auth_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/challenge/{auth_id}/{challenge_type}
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-challenge-auth_id-challenge_type
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
challenge_type |
string | path | да | Тип вызова ACME |
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
GET /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/directory
ID операции: pki-read-issuer-issuer_ref-roles-role-acme-directory
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/new-account
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-new-account
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/new-eab
ID операции: pki-generate-eab-key-for-issuer-and-role
Создайте привязки внешней учетной записи для использования в ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_directory |
string | нет | Каталог ACME, которому принадлежит ключ |
created_on |
string | нет | Дата и время в формате RFC3339, когда был создан EAB токен |
id |
string | нет | Идентификатор ключа EAB |
key |
string | нет | Ключ EAB hmac |
key_type |
string | нет | Тип ключа EAB |
GET /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/new-nonce
ID операции: pki-read-issuer-issuer_ref-roles-role-acme-new-nonce
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/new-order
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-new-order
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/order/{order_id}
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-order-order_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id |
string | path | да | Идентификатор заказа ACME для получения |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/order/{order_id}/cert
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-order-order_id-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id |
string | path | да | Идентификатор заказа ACME для получения |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/order/{order_id}/finalize
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-order-order_id-finalize
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
order_id |
string | path | да | Идентификатор заказа ACME для получения |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/orders
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-orders
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/roles/{role}/acme/revoke-cert
ID операции: pki-write-issuer-issuer_ref-roles-role-acme-revoke-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующее имя или идентификатор эмитента |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-intermediate
ID операции: pki-issuer-sign-intermediate
Выпустить промежуточный сертификат CA на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение. |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name |
string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением 'default'. |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение. |
max_path_length |
integer (default: -1) | нет | Максимально допустимая длина пути |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение. |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение. |
permitted_dns_domains |
array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты. Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10). |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение. |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
province |
array | нет | Если установлено, Province будет установлена на это значение. |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
skid |
string (default: ) | нет | Значение для поля Subject Key Identifier (RFC 5280 Раздел 4.2.1.2). Это значение должно использоваться ТОЛЬКО при перекрестной подписи для имитации значения SKID существующего сертификата; это необходимо для того, чтобы некоторые реализации TLS (например, OpenSSL), использующие совпадения SKID/AKID при построении цепочек, могли ограничивать возможные допустимые цепочки. Указывается в виде строки в шестнадцатеричном формате. По умолчанию пусто, что позволяет Vault автоматически вычислять SKID в соответствии с первым методом в приведенном выше разделе RFC. |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_csr_values |
boolean (default: False) | нет | Если верно, то: 1) Информация о субъекте, включая имена и альтернативные имена, будет сохранена из CSR, а не использована в других параметрах этого пути; 2) Любые ключевые использования, запрошенные в CSR, будут добавлены к базовому набору ключевых использований, используемых для сертификатов CA, подписанных этим путем; например, флаг неотрицания; 3) Расширения, запрошенные в CSR, будут скопированы в выпущенный сертификат. |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка CA |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий CA |
serial_number |
string | нет | Серийный номер |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-revocation-list
ID операции: pki-issuer-sign-revocation-list
Сгенерируйте и подпишите CRL на основе предоставленных параметров.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl_number |
integer | нет | Порядковый номер, который будет записан в расширении CRL Number. |
delta_crl_base_number |
integer (default: -1) | нет | Использование нуля или большего значения определяет базовый номер ревизии CRL для кодирования в расширении индикатора Delta CRL, иначе расширение не будет добавлено. |
extensions |
array | нет | Список карт, содержащих расширения с ключами id (строка), critical (bool), value (строка). |
format |
string (default: pem) | нет | Формат комбинированного CRL, может быть "pem" или "der". Если "der", значение будет закодировано в base64. По умолчанию - "pem". |
next_update |
string (default: 72h) | нет | Время, в течение которого сгенерированный CRL должен быть действителен; по умолчанию 72 часа. |
revoked_certs |
array | нет | Список карт, содержащих ключи serial_number (строка), revocation_time (строка) и extensions (карта с ключами id (строка), critical (bool), value (строка)). |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет | CRL |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-self-issued
ID операции: pki-issuer-sign-self-issued
Повторный выпуск самоподписанного сертификата на основе предоставленного сертификата.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Подписываемый самовыпущенный сертификат в формате PEM. |
require_matching_certificate_algorithms |
boolean (default: False) | нет | Если true, то требуется, чтобы алгоритм открытого ключа подписывающего лица совпадал с алгоритмом собственного сертификата. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сертификат |
issuing_ca |
string | нет | Выдающий CA |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-verbatim
ID операции: pki-issuer-sign-verbatim
Выпустить сертификат напрямую на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM. Значения будут взяты дословно из CSR, за исключением основных ограничений. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
ext_key_usage |
array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени "ExtKeyUsage". Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
ext_key_usage_oids |
array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми. |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
key_usage |
array (default: ['DigitalSignature', 'KeyAgreement', 'KeyEncipherment']) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени "KeyUsage". Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
role |
string | нет | Желаемая роль с конфигурацией для этого запроса |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign-verbatim/{role}
ID операции: pki-issuer-sign-verbatim-with-role
Выпустить сертификат напрямую на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
role |
string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM. Значения будут взяты дословно из CSR, за исключением основных ограничений. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
ext_key_usage |
array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени "ExtKeyUsage". Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
ext_key_usage_oids |
array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми. |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
key_usage |
array (default: ['DigitalSignature', 'KeyAgreement', 'KeyEncipherment']) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени "KeyUsage". Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
POST /{pki_mount_path}/issuer/{issuer_ref}/sign/{role}
ID операции: pki-issuer-sign-with-role
Запросите сертификаты, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
role |
string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl
ID операции: pki-issuer-read-unified-crl
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/delta
ID операции: pki-issuer-read-unified-crl-delta
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/delta/der
ID операции: pki-issuer-read-unified-crl-delta-der
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/delta/pem
ID операции: pki-issuer-read-unified-crl-delta-pem
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/der
ID операции: pki-issuer-read-unified-crl-der
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuer/{issuer_ref}/unified-crl/pem
ID операции: pki-issuer-read-unified-crl-pem
Получите журнал отзыва сертификатов издателя (CRL).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
issuer_ref |
string | path | да | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
crl |
string | нет |
GET /{pki_mount_path}/issuers
ID операции: pki-list-issuers
Получите список сертификатов CA.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_info |
object | нет | Информация о ключе с именем издателя |
keys |
array | нет | Список ключей |
POST /{pki_mount_path}/issuers/generate/intermediate/{exported}
ID операции: pki-issuers-generate-intermediate
Создайте новую CSR и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
exported |
string (internal, external, kms) | path | да | Должно быть "internal", "exported" или "kms". Если установлено значение "exported", будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ! |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
add_basic_constraints |
boolean | нет | Добавлять ли расширение Basic Constraints с CA: true. Необходимо только в качестве обходного пути в некоторых сценариях совместимости со службами сертификации Active Directory. |
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name |
string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением 'default'. |
key_ref |
string (default: default) | нет | Ссылка на существующий ключ; либо "default" для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу. |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec" и "ed25519" - единственные допустимые значения. |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение. |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение. |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение. |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение. |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
province |
array | нет | Если установлено, Province будет установлена на это значение. |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
csr |
string | нет | Запрос на подпись сертификата. |
key_id |
string | нет | Идентификатор ключа. |
private_key |
string | нет | Сгенерированный закрытый ключ. |
private_key_type |
string | нет | Указывает формат, используемый для организации закрытого ключа. |
POST /{pki_mount_path}/issuers/generate/root/{exported}
ID операции: pki-issuers-generate-root
Создайте новый сертификат CA и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
exported |
string (internal, external, kms) | path | да | Должно быть "internal", "exported" или "kms". Если установлено значение "exported", будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ! |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name |
string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением 'default'. |
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name |
string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением 'default'. |
key_ref |
string (default: default) | нет | Ссылка на существующий ключ; либо "default" для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу. |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec" и "ed25519" - единственные допустимые значения. |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение. |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
max_path_length |
integer (default: -1) | нет | Максимально допустимая длина пути |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение. |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение. |
permitted_dns_domains |
array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты. Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10). |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение. |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
province |
array | нет | Если установлено, Province будет установлена на это значение. |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сгенерированный самозаверенный сертификат CA. |
expiration |
integer | нет | Истечение срока действия указанного издателя. |
issuer_id |
string | нет | Идентификатор издателя |
issuer_name |
string | нет | Имя издателя. |
issuing_ca |
string | нет | Выдающий центр сертификации. |
key_id |
string | нет | Идентификатор ключа. |
key_name |
string | нет | Имя ключа, если указано. |
private_key |
string | нет | Закрытый ключ, если экспортируется, был указан. |
serial_number |
string | нет | Запрошенный серийный номер именованного субъекта. |
POST /{pki_mount_path}/issuers/import/bundle
ID операции: pki-issuers-import-bundle
Импортируйте указанные сертификаты выдачи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pem_bundle |
string | нет | PEM-формат, конкатенированный незашифрованный секретный ключ (необязательно) и сертификаты. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
existing_issuers |
array | нет | Существующие издатели, указанные как часть импортируемого пакета этого запроса |
existing_keys |
array | нет | Существующие ключи, указанные как часть импортируемого пакета этого запроса |
imported_issuers |
array | нет | Совсем новые издатели, импортированные в рамках этого запроса |
imported_keys |
array | нет | Совсем новые ключи, импортированные в рамках этого запроса |
mapping |
object | нет | Отображение issuer_id в key_id для всех издателей, включённых в этот запрос |
POST /{pki_mount_path}/issuers/import/cert
ID операции: pki-issuers-import-cert
Импортируйте указанные сертификаты выдачи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pem_bundle |
string | нет | PEM-формат, конкатенированный незашифрованный секретный ключ (необязательно) и сертификаты. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
existing_issuers |
array | нет | Существующие издатели, указанные как часть импортируемого пакета этого запроса |
existing_keys |
array | нет | Существующие ключи, указанные как часть импортируемого пакета этого запроса |
imported_issuers |
array | нет | Совсем новые издатели, импортированные в рамках этого запроса |
imported_keys |
array | нет | Совсем новые ключи, импортированные в рамках этого запроса |
mapping |
object | нет | Отображение issuer_id в key_id для всех издателей, включённых в этот запрос |
GET /{pki_mount_path}/key/{key_ref}
ID операции: pki-read-key
Получение одного ключа эмитента
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
key_ref |
string | path | да | Ссылка на ключ; либо "default" для настроенного ключа по умолчанию, либо идентификатор ключа, либо имя, присвоенное ключу. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id |
string | нет | Идентификатор Ключа |
key_name |
string | нет | Имя Ключа |
key_type |
string | нет | Тип Ключа |
managed_key_id |
string | нет | Идентификатор управляемого ключа |
managed_key_name |
string | нет | Имя управляемого ключа |
subject_key_id |
string | нет | Идентификатор ключа субъекта RFC 5280 публичного контрагента |
POST /{pki_mount_path}/key/{key_ref}
ID операции: pki-write-key
Получение одного ключа эмитента
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
key_ref |
string | path | да | Ссылка на ключ; либо "default" для настроенного ключа по умолчанию, либо идентификатор ключа, либо имя, присвоенное ключу. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_name |
string | нет | Человекочитаемое имя для этого ключа. |
Ответы
204: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id |
string | нет | Идентификатор Ключа |
key_name |
string | нет | Имя Ключа |
key_type |
string | нет | Тип Ключа |
DELETE /{pki_mount_path}/key/{key_ref}
ID операции: pki-delete-key
Получение одного ключа эмитента
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
key_ref |
string | path | да | Ссылка на ключ; либо "default" для настроенного ключа по умолчанию, либо идентификатор ключа, либо имя, присвоенное ключу. |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /{pki_mount_path}/keys
ID операции: pki-list-keys
Получение списка всех ключей эмитентов
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_info |
object | нет | Информация о ключе с именем издателя |
keys |
array | нет | Список ключей |
POST /{pki_mount_path}/keys/generate/exported
ID операции: pki-generate-exported-key
Сгенерируйте новый закрытый ключ, используемый для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name |
string | нет | Необязательное имя, которое будет использоваться для этого ключа |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec" и "ed25519" - единственные допустимые значения. |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id |
string | нет | Идентификатор, присвоенный этому ключу. |
key_name |
string | нет | Имя, назначенное этому ключу. |
key_type |
string | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec" и "ed25519" - единственные допустимые значения. |
private_key |
string | нет | Строка закрытого ключа |
POST /{pki_mount_path}/keys/generate/internal
ID операции: pki-generate-internal-key
Сгенерируйте новый закрытый ключ, используемый для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name |
string | нет | Необязательное имя, которое будет использоваться для этого ключа |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec" и "ed25519" - единственные допустимые значения. |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id |
string | нет | Идентификатор, присвоенный этому ключу. |
key_name |
string | нет | Имя, назначенное этому ключу. |
key_type |
string | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec" и "ed25519" - единственные допустимые значения. |
private_key |
string | нет | Строка закрытого ключа |
POST /{pki_mount_path}/keys/generate/kms
ID операции: pki-generate-kms-key
Сгенерируйте новый закрытый ключ, используемый для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name |
string | нет | Необязательное имя, которое будет использоваться для этого ключа |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec" и "ed25519" - единственные допустимые значения. |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id |
string | нет | Идентификатор, присвоенный этому ключу. |
key_name |
string | нет | Имя, назначенное этому ключу. |
key_type |
string | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec" и "ed25519" - единственные допустимые значения. |
private_key |
string | нет | Строка закрытого ключа |
POST /{pki_mount_path}/keys/import
ID операции: pki-import-key
Импортируйте указанный ключ.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_name |
string | нет | Необязательное имя, которое будет использоваться для этого ключа |
pem_bundle |
string | нет | Незашифрованный секретный ключ в формате PEM |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_id |
string | нет | Идентификатор, присвоенный этому ключу. |
key_name |
string | нет | Имя, назначенное этому ключу. |
key_type |
string | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec" и "ed25519" - единственные допустимые значения. |
POST /{pki_mount_path}/ocsp
ID операции: pki-query-ocsp
Запрос статуса отзыва сертификата через OCSP'
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{pki_mount_path}/ocsp/{req}
ID операции: pki-query-ocsp-with-get-req
Запрос статуса отзыва сертификата через OCSP'
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
req |
string | path | да | запрос ocsp в кодировке base-64 |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/revoke
ID операции: pki-revoke
Отмените сертификат по серийному номеру или с явным сертификатом. При вызове /revoke-with-key необходимо предоставить закрытый ключ, соответствующий сертификату, для аутентификации запроса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сертификат для отзыва в формате PEM; должен быть подписан эмитентом в этом монтировании. |
serial_number |
string | нет | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва |
state |
string | нет | Состояние отзыва |
POST /{pki_mount_path}/revoke-with-key
ID операции: pki-revoke-with-key
Отмените сертификат по серийному номеру или с явным сертификатом. При вызове /revoke-with-key необходимо предоставить закрытый ключ, соответствующий сертификату, для аутентификации запроса.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сертификат для отзыва в формате PEM; должен быть подписан эмитентом в этом монтировании. |
private_key |
string | нет | Ключ, используемый для проверки разрешения на отзыв; должен быть в формате PEM. |
serial_number |
string | нет | Серийный номер сертификата, в восьмеричной системе с разделителем двоеточия или дефиса |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
revocation_time |
integer | нет | Время отзыва |
revocation_time_rfc3339 |
string | нет | Время отзыва |
state |
string | нет | Состояние отзыва |
GET /{pki_mount_path}/roles
ID операции: pki-list-roles
Список существующих ролей в этом бэкенде
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | Список ролей |
GET /{pki_mount_path}/roles/{name}
ID операции: pki-read-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_any_name |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для любого домена, независимо от ограничений allowed_domains. Дополнительные сведения см. в документации. |
allow_bare_domains |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для самих базовых доменов, например "example.com" из доменов, перечисленных в allowed_domains. Это отдельная опция, поскольку в некоторых случаях это может рассматриваться как угроза безопасности. Дополнительную информацию см. в документации. |
allow_glob_domains |
boolean | нет | Если установлено, домены, указанные в allowed_domains, могут включать шаблоны glob в стиле shell, например, "ftp*.example.com". Дополнительные сведения см. в документации. |
allow_ip_sans |
boolean | нет | Если установлено, разрешены альтернативные имена субъектов IP. Принимается любой действительный IP, проверка авторизации не производится. |
allow_localhost |
boolean | нет | Разрешать ли "localhost" и "localdomain" в качестве допустимого общего имени в запросе, независимо от значения allowed_domains. |
allow_subdomains |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для поддоменов доменов, перечисленных в allowed_domains, включая поддомены с подстановочными знаками. Дополнительную информацию см. в документации. |
allow_token_displayname |
boolean | нет | Разрешать ли "localhost" и "localdomain" в качестве допустимого общего имени в запросе, независимо от значения allowed_domains. |
allow_wildcard_certificates |
boolean | нет | Если установлено, разрешается выдавать сертификаты с подстановочными знаками в общем имени, в соответствии с разделом 6.4.3 документа RFC 6125; например, ".example.net" или "bz.example.net". Дополнительные сведения см. в документации. |
allowed_domains |
array | нет | Указывает домены, для которых этой роли разрешено выдавать сертификаты. Используется вместе с параметрами allow_bare_domains, allow_subdomains и allow_glob_domains для определения соответствия общего имени, записей SAN, типизированных для DNS, и записей SAN, типизированных для электронной почты, в сертификатах. Дополнительные сведения см. в документации. Этот параметр принимает строку или список доменов, разделенных запятыми. |
allowed_domains_template |
boolean | нет | Если установлено, разрешенные домены могут быть указаны с помощью политик шаблонов идентификации. Домены без шаблонов также разрешены. |
allowed_other_sans |
array | нет | Если установлено, то массив разрешенных других имен, которые можно поместить в SAN. Эти значения поддерживают globbing и должны быть в формате |
allowed_serial_numbers |
array | нет | Если установлено, массив разрешенных серийных номеров, которые можно поместить в Subject. Эти значения поддерживают глобальный поиск. |
allowed_uri_sans |
array | нет | Если задано, массив допустимых URI для альтернативных имен субъектов URI. Принимается любой допустимый URI, эти значения поддерживают глобализацию. |
allowed_uri_sans_template |
boolean | нет | Если установлено, разрешенные URI SAN могут быть указаны с помощью политик шаблонов идентификации. Сети URI без шаблонов также разрешены. |
allowed_user_ids |
array | нет | Если задано, то массив разрешенных идентификаторов пользователей, которые следует поместить в системный логин пользователя, указан здесь: https://www.rfc-editor.org/rfc/rfc1274#section-9.3.1 |
basic_constraints_valid_for_non_ca |
boolean | нет | Отметьте основные ограничения, действующие при выдаче сертификатов не-CA. |
client_flag |
boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве клиентского аутентификатора. По умолчанию установлено значение true. См. также RFC 5280, раздел 4.2.1.12. |
cn_validations |
array | нет | Список разрешенных проверок для поля Common Name. Значения могут включать 'email' для проверки того, что CN является адресом электронной почты, 'hostname' для проверки того, что CN является действительным именем хоста (потенциально включая подстановочные знаки). Если указано несколько проверок, они принимают семантику OR (разрешены либо email, либо hostname). Специальное значение 'disabled' позволяет отключить все проверки имени CN, что позволяет использовать произвольные CN без имени хоста и адреса электронной почты. |
code_signing_flag |
boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве подписи кода. По умолчанию установлено значение false. См. также RFC 5280, раздел 4.2.1.12. |
country |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Country будет равно этому значению. |
email_protection_flag |
boolean | нет | Если установлено, сертификаты будут отмечены для использования в целях защиты электронной почты. По умолчанию установлено значение false. См. также RFC 5280, раздел 4.2.1.12. |
enforce_hostnames |
boolean | нет | Если установлено, то для CN и DNS SAN разрешены только действительные имена хостов, а также часть хоста в адресах электронной почты. По умолчанию установлено значение true. |
ext_key_usage |
array | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени "ExtKeyUsage". Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. См. также RFC 5280 Раздел 4.2.1.12. |
ext_key_usage_oids |
array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми. |
generate_lease |
boolean | нет | Если установлено, сертификаты, выпущенные/подписанные под этой ролью, будут иметь привязку к аренде Vault. По умолчанию установлено значение "false". Сертификаты могут быть добавлены в CRL командой "vault revoke |
issuer_ref |
string | нет | Ссылка на эмитента, используемого для подписи запросов, обслуживаемых этой ролью. |
key_bits |
integer | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_type |
string | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec", "ed25519" и "any" - единственные допустимые значения. |
key_usage |
array | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени "KeyUsage". Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. См. также RFC 5280 Раздел 4.2.1.3. |
locality |
array | нет | Если установлено, Locality будет иметь это значение в сертификатах, выданных этой ролью. |
max_ttl |
integer | нет | Максимально допустимая продолжительность аренды. Если не задано, по умолчанию используется системный максимальный TTL аренды. |
no_store |
boolean | нет | Если установлено, сертификаты, выпущенные/подписанные для этой роли, не будут храниться в бэкенде хранилища. Это может повысить производительность при выпуске большого количества сертификатов. Однако сертификаты, выпущенные таким образом, не могут быть перечислены или отозваны, поэтому эта опция рекомендуется только для сертификатов, которые не являются чувствительными или очень недолговечными. Эта опция подразумевает значение "false" для "generate_lease". |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ. |
not_before_duration |
integer | нет | Длительность в секундах до настоящего момента, на которую требуется аннулировать сертификат. |
organization |
array | нет | Если установлено, O (Organization) будет иметь это значение в сертификатах, выданных этой ролью. |
ou |
array | нет | Если установлено, OU (OrganizationalUnit) будет иметь это значение в сертификатах, выданных этой ролью. |
policy_identifiers |
array | нет | Строка или список OID политики, разделенные запятыми, или JSON-список квалифицированной информации о политике, который должен включать oid и может включать notice и/или cps url, используя форму [{"oid"="1.3.6.1.4.1.7.8", "notice"="Я пользователь Notice"}, {"oid"="1.3.6.1.4.1.44947.1.2.4 ", "cps"="https://example.com"}]. |
postal_code |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, почтовый индекс будет иметь это значение. |
province |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Province будет равно этому значению. |
require_cn |
boolean | нет | Если установлено значение false, поле 'common_name' становится необязательным при генерации сертификата. |
server_flag |
boolean (default: True) | нет | Если установлено, сертификаты будут отмечены для использования серверного аутентификатора. По умолчанию установлено значение true. См. также RFC 5280, раздел 4.2.1.12. |
signature_bits |
integer | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, будет установлено значение Street Address. |
ttl |
integer | нет | Продолжительность аренды (срок действия сертификата), если не запрашивается конкретная продолжительность аренды. Продолжительность аренды контролирует срок действия сертификатов, выпущенных этим бэкендом. По умолчанию соответствует системному значению по умолчанию или значению max_ttl, в зависимости от того, что меньше. |
use_csr_common_name |
boolean | нет | Если установлено, то при использовании с профилем подписи будет использоваться общее имя в CSR. Это не включает любые запрошенные альтернативные имена субъектов; для этого используйте use_csr_sans. По умолчанию установлено значение true. |
use_csr_sans |
boolean | нет | Если установлено, то при использовании с профилем подписи будут использоваться SAN в CSR. Это не включает общее имя (cn); для этого используйте use_csr_common_name. По умолчанию установлено значение true. |
use_pss |
boolean | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
POST /{pki_mount_path}/roles/{name}
ID операции: pki-write-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_any_name |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для любого домена, независимо от ограничений allowed_domains. Дополнительные сведения см. в документации. |
allow_bare_domains |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для самих базовых доменов, например "example.com" из доменов, перечисленных в allowed_domains. Это отдельная опция, поскольку в некоторых случаях это может рассматриваться как угроза безопасности. Дополнительную информацию см. в документации. |
allow_glob_domains |
boolean | нет | Если установлено, домены, указанные в allowed_domains, могут включать шаблоны glob в стиле shell, например, "ftp*.example.com". Дополнительные сведения см. в документации. |
allow_ip_sans |
boolean (default: True) | нет | Если установлено, разрешены альтернативные имена субъектов IP. Принимается любой действительный IP, проверка авторизации не производится. |
allow_localhost |
boolean (default: True) | нет | Разрешать ли "localhost" и "localdomain" в качестве допустимого общего имени в запросе, независимо от значения allowed_domains. |
allow_subdomains |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для поддоменов доменов, перечисленных в allowed_domains, включая поддомены с подстановочными знаками. Дополнительную информацию см. в документации. |
allow_wildcard_certificates |
boolean (default: True) | нет | Если установлено, разрешается выдавать сертификаты с подстановочными знаками в общем имени, в соответствии с разделом 6.4.3 документа RFC 6125; например, ".example.net" или "bz.example.net". Дополнительные сведения см. в документации. |
allowed_domains |
array | нет | Указывает домены, для которых этой роли разрешено выдавать сертификаты. Используется вместе с параметрами allow_bare_domains, allow_subdomains и allow_glob_domains для определения соответствия общего имени, записей SAN, типизированных для DNS, и записей SAN, типизированных для электронной почты, в сертификатах. Дополнительные сведения см. в документации. Этот параметр принимает строку или список доменов, разделенных запятыми. |
allowed_domains_template |
boolean (default: False) | нет | Если установлено, разрешенные домены могут быть указаны с помощью политик шаблонов идентификации. Домены без шаблонов также разрешены. |
allowed_other_sans |
array | нет | Если установлено, то массив разрешенных других имен, которые можно поместить в SAN. Эти значения поддерживают globbing и должны быть в формате |
allowed_serial_numbers |
array | нет | Если установлено, массив разрешенных серийных номеров, которые можно поместить в Subject. Эти значения поддерживают глобальный поиск. |
allowed_uri_sans |
array | нет | Если задано, массив допустимых URI для альтернативных имен субъектов URI. Принимается любой допустимый URI, эти значения поддерживают глобализацию. |
allowed_uri_sans_template |
boolean (default: False) | нет | Если установлено, разрешенные URI SAN могут быть указаны с помощью политик шаблонов идентификации. Сети URI без шаблонов также разрешены. |
allowed_user_ids |
array | нет | Если задано, то массив разрешенных идентификаторов пользователей, которые следует поместить в системный логин пользователя, указан здесь: https://www.rfc-editor.org/rfc/rfc1274#section-9.3.1 |
backend |
string | нет | Тип бэкэнда |
basic_constraints_valid_for_non_ca |
boolean | нет | Отметьте основные ограничения, действующие при выдаче сертификатов не-CA. |
client_flag |
boolean (default: True) | нет | Если установлено, сертификаты будут помечены для использования в качестве клиентского аутентификатора. По умолчанию установлено значение true. См. также RFC 5280, раздел 4.2.1.12. |
cn_validations |
array (default: ['email', 'hostname']) | нет | Список разрешенных проверок для поля Common Name. Значения могут включать 'email' для проверки того, что CN является адресом электронной почты, 'hostname' для проверки того, что CN является действительным именем хоста (потенциально включая подстановочные знаки). Если указано несколько проверок, они принимают семантику OR (разрешены либо email, либо hostname). Специальное значение 'disabled' позволяет отключить все проверки имени CN, что позволяет использовать произвольные CN без имени хоста и адреса электронной почты. |
code_signing_flag |
boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве подписи кода. По умолчанию установлено значение false. См. также RFC 5280, раздел 4.2.1.12. |
country |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Country будет равно этому значению. |
email_protection_flag |
boolean | нет | Если установлено, сертификаты будут отмечены для использования в целях защиты электронной почты. По умолчанию установлено значение false. См. также RFC 5280, раздел 4.2.1.12. |
enforce_hostnames |
boolean (default: True) | нет | Если установлено, то для CN и DNS SAN разрешены только действительные имена хостов, а также часть хоста в адресах электронной почты. По умолчанию установлено значение true. |
ext_key_usage |
array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени "ExtKeyUsage". Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. См. также RFC 5280 Раздел 4.2.1.12. |
ext_key_usage_oids |
array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми. |
generate_lease |
boolean | нет | Если установлено, сертификаты, выпущенные/подписанные под этой ролью, будут иметь привязку к аренде Vault. По умолчанию установлено значение "false". Сертификаты могут быть добавлены в CRL командой "vault revoke |
issuer_ref |
string (default: default) | нет | Ссылка на эмитента, используемого для подписи запросов, обслуживаемых этой ролью. |
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_type |
string (rsa, ec, ed25519, any) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec", "ed25519" и "any" - единственные допустимые значения. |
key_usage |
array (default: ['DigitalSignature', 'KeyAgreement', 'KeyEncipherment']) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени "KeyUsage". Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. См. также RFC 5280 Раздел 4.2.1.3. |
locality |
array | нет | Если установлено, Locality будет иметь это значение в сертификатах, выданных этой ролью. |
max_ttl |
integer | нет | Максимально допустимая продолжительность аренды. Если не задано, по умолчанию используется системный максимальный TTL аренды. |
no_store |
boolean | нет | Если установлено, сертификаты, выпущенные/подписанные для этой роли, не будут храниться в бэкенде хранилища. Это может повысить производительность при выпуске большого количества сертификатов. Однако сертификаты, выпущенные таким образом, не могут быть перечислены или отозваны, поэтому эта опция рекомендуется только для сертификатов, которые не являются чувствительными или очень недолговечными. Эта опция подразумевает значение "false" для "generate_lease". |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ. |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization |
array | нет | Если установлено, O (Organization) будет иметь это значение в сертификатах, выданных этой ролью. |
ou |
array | нет | Если установлено, OU (OrganizationalUnit) будет иметь это значение в сертификатах, выданных этой ролью. |
policy_identifiers |
array | нет | Строка или список OID политики, разделенные запятыми, или JSON-список квалифицированной информации о политике, который должен включать oid и может включать notice и/или cps url, используя форму [{"oid"="1.3.6.1.4.1.7.8", "notice"="Я пользователь Notice"}, {"oid"="1.3.6.1.4.1.44947.1.2.4 ", "cps"="https://example.com"}]. |
postal_code |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, почтовый индекс будет иметь это значение. |
province |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Province будет равно этому значению. |
require_cn |
boolean (default: True) | нет | Если установлено значение false, поле 'common_name' становится необязательным при генерации сертификата. |
server_flag |
boolean (default: True) | нет | Если установлено, сертификаты будут отмечены для использования серверного аутентификатора. По умолчанию установлено значение true. См. также RFC 5280, раздел 4.2.1.12. |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, будет установлено значение Street Address. |
ttl |
integer | нет | Продолжительность аренды (срок действия сертификата), если не запрашивается конкретная продолжительность аренды. Продолжительность аренды контролирует срок действия сертификатов, выпущенных этим бэкендом. По умолчанию соответствует системному значению по умолчанию или значению max_ttl, в зависимости от того, что меньше. |
use_csr_common_name |
boolean (default: True) | нет | Если установлено, то при использовании с профилем подписи будет использоваться общее имя в CSR. Это не включает любые запрошенные альтернативные имена субъектов; для этого используйте use_csr_sans. По умолчанию установлено значение true. |
use_csr_sans |
boolean (default: True) | нет | Если установлено, то при использовании с профилем подписи будут использоваться SAN в CSR. Это не включает общее имя (cn); для этого используйте use_csr_common_name. По умолчанию установлено значение true. |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_any_name |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для любого домена, независимо от ограничений allowed_domains. Дополнительные сведения см. в документации. |
allow_bare_domains |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для самих базовых доменов, например "example.com" из доменов, перечисленных в allowed_domains. Это отдельная опция, поскольку в некоторых случаях это может рассматриваться как угроза безопасности. Дополнительную информацию см. в документации. |
allow_glob_domains |
boolean | нет | Если установлено, домены, указанные в allowed_domains, могут включать шаблоны glob в стиле shell, например, "ftp*.example.com". Дополнительные сведения см. в документации. |
allow_ip_sans |
boolean | нет | Если установлено, разрешены альтернативные имена субъектов IP. Принимается любой действительный IP, проверка авторизации не производится. |
allow_localhost |
boolean | нет | Разрешать ли "localhost" и "localdomain" в качестве допустимого общего имени в запросе, независимо от значения allowed_domains. |
allow_subdomains |
boolean | нет | Если установлено, клиенты могут запрашивать сертификаты для поддоменов доменов, перечисленных в allowed_domains, включая поддомены с подстановочными знаками. Дополнительную информацию см. в документации. |
allow_token_displayname |
boolean | нет | Разрешать ли "localhost" и "localdomain" в качестве допустимого общего имени в запросе, независимо от значения allowed_domains. |
allow_wildcard_certificates |
boolean | нет | Если установлено, разрешается выдавать сертификаты с подстановочными знаками в общем имени, в соответствии с разделом 6.4.3 документа RFC 6125; например, ".example.net" или "bz.example.net". Дополнительные сведения см. в документации. |
allowed_domains |
array | нет | Указывает домены, для которых этой роли разрешено выдавать сертификаты. Используется вместе с параметрами allow_bare_domains, allow_subdomains и allow_glob_domains для определения соответствия общего имени, записей SAN, типизированных для DNS, и записей SAN, типизированных для электронной почты, в сертификатах. Дополнительные сведения см. в документации. Этот параметр принимает строку или список доменов, разделенных запятыми. |
allowed_domains_template |
boolean | нет | Если установлено, разрешенные домены могут быть указаны с помощью политик шаблонов идентификации. Домены без шаблонов также разрешены. |
allowed_other_sans |
array | нет | Если установлено, то массив разрешенных других имен, которые можно поместить в SAN. Эти значения поддерживают globbing и должны быть в формате |
allowed_serial_numbers |
array | нет | Если установлено, массив разрешенных серийных номеров, которые можно поместить в Subject. Эти значения поддерживают глобальный поиск. |
allowed_uri_sans |
array | нет | Если задано, массив допустимых URI для альтернативных имен субъектов URI. Принимается любой допустимый URI, эти значения поддерживают глобализацию. |
allowed_uri_sans_template |
boolean | нет | Если установлено, разрешенные URI SAN могут быть указаны с помощью политик шаблонов идентификации. Сети URI без шаблонов также разрешены. |
allowed_user_ids |
array | нет | Если задано, то массив разрешенных идентификаторов пользователей, которые следует поместить в системный логин пользователя, указан здесь: https://www.rfc-editor.org/rfc/rfc1274#section-9.3.1 |
basic_constraints_valid_for_non_ca |
boolean | нет | Отметьте основные ограничения, действующие при выдаче сертификатов не-CA. |
client_flag |
boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве клиентского аутентификатора. По умолчанию установлено значение true. См. также RFC 5280, раздел 4.2.1.12. |
cn_validations |
array | нет | Список разрешенных проверок для поля Common Name. Значения могут включать 'email' для проверки того, что CN является адресом электронной почты, 'hostname' для проверки того, что CN является действительным именем хоста (потенциально включая подстановочные знаки). Если указано несколько проверок, они принимают семантику OR (разрешены либо email, либо hostname). Специальное значение 'disabled' позволяет отключить все проверки имени CN, что позволяет использовать произвольные CN без имени хоста и адреса электронной почты. |
code_signing_flag |
boolean | нет | Если установлено, сертификаты будут помечены для использования в качестве подписи кода. По умолчанию установлено значение false. См. также RFC 5280, раздел 4.2.1.12. |
country |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Country будет равно этому значению. |
email_protection_flag |
boolean | нет | Если установлено, сертификаты будут отмечены для использования в целях защиты электронной почты. По умолчанию установлено значение false. См. также RFC 5280, раздел 4.2.1.12. |
enforce_hostnames |
boolean | нет | Если установлено, то для CN и DNS SAN разрешены только действительные имена хостов, а также часть хоста в адресах электронной почты. По умолчанию установлено значение true. |
ext_key_usage |
array | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени "ExtKeyUsage". Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. См. также RFC 5280 Раздел 4.2.1.12. |
ext_key_usage_oids |
array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми. |
generate_lease |
boolean | нет | Если установлено, сертификаты, выпущенные/подписанные под этой ролью, будут иметь привязку к аренде Vault. По умолчанию установлено значение "false". Сертификаты могут быть добавлены в CRL командой "vault revoke |
issuer_ref |
string | нет | Ссылка на эмитента, используемого для подписи запросов, обслуживаемых этой ролью. |
key_bits |
integer | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_type |
string | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec", "ed25519" и "any" - единственные допустимые значения. |
key_usage |
array | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени "KeyUsage". Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. См. также RFC 5280 Раздел 4.2.1.3. |
locality |
array | нет | Если установлено, Locality будет иметь это значение в сертификатах, выданных этой ролью. |
max_ttl |
integer | нет | Максимально допустимая продолжительность аренды. Если не задано, по умолчанию используется системный максимальный TTL аренды. |
no_store |
boolean | нет | Если установлено, сертификаты, выпущенные/подписанные для этой роли, не будут храниться в бэкенде хранилища. Это может повысить производительность при выпуске большого количества сертификатов. Однако сертификаты, выпущенные таким образом, не могут быть перечислены или отозваны, поэтому эта опция рекомендуется только для сертификатов, которые не являются чувствительными или очень недолговечными. Эта опция подразумевает значение "false" для "generate_lease". |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ. |
not_before_duration |
integer | нет | Длительность в секундах до настоящего момента, на которую требуется аннулировать сертификат. |
organization |
array | нет | Если установлено, O (Organization) будет иметь это значение в сертификатах, выданных этой ролью. |
ou |
array | нет | Если установлено, OU (OrganizationalUnit) будет иметь это значение в сертификатах, выданных этой ролью. |
policy_identifiers |
array | нет | Строка или список OID политики, разделенные запятыми, или JSON-список квалифицированной информации о политике, который должен включать oid и может включать notice и/или cps url, используя форму [{"oid"="1.3.6.1.4.1.7.8", "notice"="Я пользователь Notice"}, {"oid"="1.3.6.1.4.1.44947.1.2.4 ", "cps"="https://example.com"}]. |
postal_code |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, почтовый индекс будет иметь это значение. |
province |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, значение Province будет равно этому значению. |
require_cn |
boolean | нет | Если установлено значение false, поле 'common_name' становится необязательным при генерации сертификата. |
server_flag |
boolean (default: True) | нет | Если установлено, сертификаты будут отмечены для использования серверного аутентификатора. По умолчанию установлено значение true. См. также RFC 5280, раздел 4.2.1.12. |
signature_bits |
integer | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address |
array | нет | Если установлено, то в сертификатах, выданных этой ролью, будет установлено значение Street Address. |
ttl |
integer | нет | Продолжительность аренды (срок действия сертификата), если не запрашивается конкретная продолжительность аренды. Продолжительность аренды контролирует срок действия сертификатов, выпущенных этим бэкендом. По умолчанию соответствует системному значению по умолчанию или значению max_ttl, в зависимости от того, что меньше. |
use_csr_common_name |
boolean | нет | Если установлено, то при использовании с профилем подписи будет использоваться общее имя в CSR. Это не включает любые запрошенные альтернативные имена субъектов; для этого используйте use_csr_sans. По умолчанию установлено значение true. |
use_csr_sans |
boolean | нет | Если установлено, то при использовании с профилем подписи будут использоваться SAN в CSR. Это не включает общее имя (cn); для этого используйте use_csr_common_name. По умолчанию установлено значение true. |
use_pss |
boolean | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
DELETE /{pki_mount_path}/roles/{name}
ID операции: pki-delete-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /{pki_mount_path}/roles/{role}/acme/account/{kid}
ID операции: pki-write-roles-role-acme-account-kid
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kid |
string | path | да | Идентификатор ключа, предоставленный центром сертификации |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/authorization/{auth_id}
ID операции: pki-write-roles-role-acme-authorization-auth_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/challenge/{auth_id}/{challenge_type}
ID операции: pki-write-roles-role-acme-challenge-auth_id-challenge_type
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
auth_id |
string | path | да | Значение идентификатора авторизации ACME |
challenge_type |
string | path | да | Тип вызова ACME |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
GET /{pki_mount_path}/roles/{role}/acme/directory
ID операции: pki-read-roles-role-acme-directory
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/new-account
ID операции: pki-write-roles-role-acme-new-account
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/new-eab
ID операции: pki-generate-eab-key-for-role
Создайте привязки внешней учетной записи для использования в ACME
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_directory |
string | нет | Каталог ACME, которому принадлежит ключ |
created_on |
string | нет | Дата и время в формате RFC3339, когда был создан EAB токен |
id |
string | нет | Идентификатор ключа EAB |
key |
string | нет | Ключ EAB hmac |
key_type |
string | нет | Тип ключа EAB |
GET /{pki_mount_path}/roles/{role}/acme/new-nonce
ID операции: pki-read-roles-role-acme-new-nonce
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/new-order
ID операции: pki-write-roles-role-acme-new-order
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/order/{order_id}
ID операции: pki-write-roles-role-acme-order-order_id
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id |
string | path | да | Идентификатор заказа ACME для получения |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/order/{order_id}/cert
ID операции: pki-write-roles-role-acme-order-order_id-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id |
string | path | да | Идентификатор заказа ACME для получения |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/order/{order_id}/finalize
ID операции: pki-write-roles-role-acme-order-order_id-finalize
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
order_id |
string | path | да | Идентификатор заказа ACME для получения |
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/orders
ID операции: pki-write-roles-role-acme-orders
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
POST /{pki_mount_path}/roles/{role}/acme/revoke-cert
ID операции: pki-write-roles-role-acme-revoke-cert
Конечная точка, реализующая стандартный протокол ACME
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль для запроса acme |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
payload |
string | нет | Значение 'полезной нагрузки' запроса ACME |
protected |
string | нет | ACME запрос 'защищенного' значения |
signature |
string | нет | Значение "подписи" запроса ACME |
Ответы
200: OK
DELETE /{pki_mount_path}/root
ID операции: pki-delete-root
Удаляет ключ корневого центра сертификации, чтобы можно было создать новый.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/root/generate/{exported}
ID операции: pki-generate-root
Создайте новый сертификат CA и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
exported |
string (internal, external, kms) | path | да | Должно быть "internal", "exported" или "kms". Если установлено значение "exported", будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ! |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name |
string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением 'default'. |
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name |
string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением 'default'. |
key_ref |
string (default: default) | нет | Ссылка на существующий ключ; либо "default" для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу. |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec" и "ed25519" - единственные допустимые значения. |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение. |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
max_path_length |
integer (default: -1) | нет | Максимально допустимая длина пути |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение. |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение. |
permitted_dns_domains |
array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты. Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10). |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение. |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
province |
array | нет | Если установлено, Province будет установлена на это значение. |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сгенерированный самозаверенный сертификат CA. |
expiration |
integer | нет | Истечение срока действия указанного издателя. |
issuer_id |
string | нет | Идентификатор издателя |
issuer_name |
string | нет | Имя издателя. |
issuing_ca |
string | нет | Выдающий центр сертификации. |
key_id |
string | нет | Идентификатор ключа. |
key_name |
string | нет | Имя ключа, если указано. |
private_key |
string | нет | Закрытый ключ, если экспортируется, был указан. |
serial_number |
string | нет | Запрошенный серийный номер именованного субъекта. |
POST /{pki_mount_path}/root/replace
ID операции: pki-replace-root
Считывание и установка сертификата эмитента по умолчанию для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string (default: next) | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default |
string | нет | Ссылка (имя или идентификатор) на эмитента по умолчанию. |
default_follows_latest_issuer |
boolean | нет | Должен ли эмитент по умолчанию автоматически следовать последнему сгенерированному или импортированному эмитенту. По умолчанию имеет значение false. |
POST /{pki_mount_path}/root/rotate/{exported}
ID операции: pki-rotate-root
Создайте новый сертификат CA и закрытый ключ, используемые для подписи.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
exported |
string (internal, external, kms) | path | да | Должно быть "internal", "exported" или "kms". Если установлено значение "exported", будет возвращен сгенерированный закрытый ключ. Это ваш единственный шанс получить закрытый ключ! |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name |
string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением 'default'. |
key_bits |
integer (default: 0) | нет | Количество используемых битов. Допустимые значения: 0 (универсальное значение по умолчанию); с rsa key_type: 2048 (по умолчанию), 3072 или 4096; с ec key_type: 224, 256 (по умолчанию), 384 или 521; игнорируется с ed25519. |
key_name |
string | нет | Укажите имя сгенерированного или существующего ключа; имя должно быть уникальным для всех ключей и не должно быть зарезервированным значением 'default'. |
key_ref |
string (default: default) | нет | Ссылка на существующий ключ; либо "default" для настроенного ключа по умолчанию, либо идентификатор или имя, присвоенное ключу. |
key_type |
string (rsa, ec, ed25519) (default: rsa) | нет | Тип используемого ключа; по умолчанию используется RSA. "rsa" "ec" и "ed25519" - единственные допустимые значения. |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение. |
managed_key_id |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, это поле или managed_key_name является обязательным. Игнорируется для других типов. |
managed_key_name |
string | нет | Имя управляемого ключа, используемого, когда экспортируемый тип - kms. Если тип kms является типом ключа, требуется это поле или managed_key_id. Игнорируется для других типов. |
max_path_length |
integer (default: -1) | нет | Максимально допустимая длина пути |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение. |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение. |
permitted_dns_domains |
array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты. Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10). |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение. |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
province |
array | нет | Если установлено, Province будет установлена на это значение. |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сгенерированный самозаверенный сертификат CA. |
expiration |
integer | нет | Истечение срока действия указанного издателя. |
issuer_id |
string | нет | Идентификатор издателя |
issuer_name |
string | нет | Имя издателя. |
issuing_ca |
string | нет | Выдающий центр сертификации. |
key_id |
string | нет | Идентификатор ключа. |
key_name |
string | нет | Имя ключа, если указано. |
private_key |
string | нет | Закрытый ключ, если экспортируется, был указан. |
serial_number |
string | нет | Запрошенный серийный номер именованного субъекта. |
POST /{pki_mount_path}/root/sign-intermediate
ID операции: pki-root-sign-intermediate
Выпустить промежуточный сертификат CA на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Может содержать как DNS-имена, так и адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если не указано при подписании, общее имя будет взято из CSR; другие имена все равно должны быть указаны в alt_names или ip_sans. |
country |
array | нет | Если установлено, то для параметра Страна будет задано это значение. |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_name |
string | нет | Укажите имя создаваемого или существующего эмитента; имя должно быть уникальным для всех эмитентов и не должно быть зарезервированным значением 'default'. |
issuer_ref |
string (default: default) | нет | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
locality |
array | нет | Если установлено, то значение Locality будет установлено на это значение. |
max_path_length |
integer (default: -1) | нет | Максимально допустимая длина пути |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
not_before_duration |
integer (default: 30) | нет | Срок, на который необходимо продлить срок действия сертификата. |
organization |
array | нет | Если установлено, O (Организация) будет установлена на это значение. |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
ou |
array | нет | Если установлено, для OU (OrganizationalUnit) будет задано это значение. |
permitted_dns_domains |
array | нет | Домены, для которых данному сертификату разрешено подписывать или выпускать дочерние сертификаты. Если установлено, все DNS-имена (subject и alt) в дочерних сертификатах должны быть точными совпадениями или подмножествами указанных доменов (см. https://tools.ietf.org/html/rfc5280#section-4.2.1.10). |
postal_code |
array | нет | Если установлено, то почтовый индекс будет установлен на это значение. |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
province |
array | нет | Если установлено, Province будет установлена на это значение. |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
skid |
string (default: ) | нет | Значение для поля Subject Key Identifier (RFC 5280 Раздел 4.2.1.2). Это значение должно использоваться ТОЛЬКО при перекрестной подписи для имитации значения SKID существующего сертификата; это необходимо для того, чтобы некоторые реализации TLS (например, OpenSSL), использующие совпадения SKID/AKID при построении цепочек, могли ограничивать возможные допустимые цепочки. Указывается в виде строки в шестнадцатеричном формате. По умолчанию пусто, что позволяет Vault автоматически вычислять SKID в соответствии с первым методом в приведенном выше разделе RFC. |
street_address |
array | нет | Если установлено, то для адреса улицы будет задано это значение. |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем mount max TTL. Примечание: это имеет значение только при генерации сертификата ЦС или подписании сертификата ЦС, но не при генерации CSR для промежуточного ЦС. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_csr_values |
boolean (default: False) | нет | Если верно, то: 1) Информация о субъекте, включая имена и альтернативные имена, будет сохранена из CSR, а не использована в других параметрах этого пути; 2) Любые ключевые использования, запрошенные в CSR, будут добавлены к базовому набору ключевых использований, используемых для сертификатов CA, подписанных этим путем; например, флаг неотрицания; 3) Расширения, запрошенные в CSR, будут скопированы в выпущенный сертификат. |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка CA |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий CA |
serial_number |
string | нет | Серийный номер |
POST /{pki_mount_path}/root/sign-self-issued
ID операции: pki-root-sign-self-issued
Повторный выпуск самоподписанного сертификата на основе предоставленного сертификата.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Подписываемый самовыпущенный сертификат в формате PEM. |
issuer_ref |
string (default: default) | нет | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
require_matching_certificate_algorithms |
boolean (default: False) | нет | Если true, то требуется, чтобы алгоритм открытого ключа подписывающего лица совпадал с алгоритмом собственного сертификата. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
certificate |
string | нет | Сертификат |
issuing_ca |
string | нет | Выдающий CA |
POST /{pki_mount_path}/sign-verbatim
ID операции: pki-sign-verbatim
Выпустить сертификат напрямую на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM. Значения будут взяты дословно из CSR, за исключением основных ограничений. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
ext_key_usage |
array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени "ExtKeyUsage". Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
ext_key_usage_oids |
array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми. |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_ref |
string (default: default) | нет | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
key_usage |
array (default: ['DigitalSignature', 'KeyAgreement', 'KeyEncipherment']) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени "KeyUsage". Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
role |
string | нет | Желаемая роль с конфигурацией для этого запроса |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
POST /{pki_mount_path}/sign-verbatim/{role}
ID операции: pki-sign-verbatim-with-role
Выпустить сертификат напрямую на основе предоставленного CSR.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM. Значения будут взяты дословно из CSR, за исключением основных ограничений. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
ext_key_usage |
array (default: []) | нет | Строка или список расширенных применений ключей, разделенных запятыми. Допустимые значения можно найти по адресу https://golang.org/pkg/crypto/x509/#ExtKeyUsage - просто опустите часть имени "ExtKeyUsage". Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
ext_key_usage_oids |
array | нет | Строка или список расширенных идентификаторов использования ключей, разделенных запятыми. |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_ref |
string (default: default) | нет | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
key_usage |
array (default: ['DigitalSignature', 'KeyAgreement', 'KeyEncipherment']) | нет | Разделенная запятыми строка или список использований ключа (не расширенных использований ключа). Допустимые значения можно найти на https://golang.org/pkg/crypto/x509/#KeyUsage - просто опустите часть имени "KeyUsage". Чтобы исключить установку всех ключевых использований, установите это значение в пустой список. |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
signature_bits |
integer (default: 0) | нет | Количество бит, используемых в алгоритме подписи; принимается 256 для SHA-2-256, 384 для SHA-2-384 и 512 для SHA-2-512. По умолчанию равно 0 для автоматического определения длины ключа (SHA-2-256 для ключей RSA и соответствие размеру кривой для P-кривых NIST). |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
use_pss |
boolean (default: False) | нет | Использовать или нет подписи PSS при использовании эмитента ключа типа RSA. По умолчанию имеет значение false. |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
POST /{pki_mount_path}/sign/{role}
ID операции: pki-sign-with-role
Запросите сертификаты, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль с конфигурацией для этого запроса |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alt_names |
string | нет | Запрашиваемые альтернативные имена субъектов, если таковые имеются, в виде списка, разделенного запятыми. Если для роли включена защита электронной почты, в этом списке могут содержаться адреса электронной почты. |
common_name |
string | нет | Запрашиваемое общее имя; если вам нужно несколько, укажите альтернативные имена в карте alt_names. Если в роли включена защита электронной почты, это может быть адрес электронной почты. |
csr |
string (default: ) | нет | Подписываемый CSR в формате PEM. |
exclude_cn_from_sans |
boolean (default: False) | нет | Если установлено значение true, общее имя не будет включаться в альтернативные имена DNS или темы электронной почты. По умолчанию значение false (CN включается). |
format |
string (pem, der, pem_bundle) (default: pem) | нет | Формат возвращаемых данных. Может быть "pem", "der" или "pem_bundle". Если "pem_bundle", то закрытый ключ и сертификат-эмитент будут добавлены к сертификату pem. Если "der", то значение будет закодировано в base64. По умолчанию используется значение "pem". |
ip_sans |
array | нет | Запрашиваемые IP SAN, если таковые имеются, в виде списка, разделенного запятыми |
issuer_ref |
string (default: default) | нет | Ссылка на существующего эмитента; либо "default" для настроенного эмитента по умолчанию, либо идентификатор или имя, присвоенное эмитенту. |
not_after |
string | нет | Устанавливает в поле "Не после" сертификата указанное значение даты. Формат значения должен быть задан в формате UTC YYYY-MM-ddTHH:MM:SSZ |
other_sans |
array | нет | Запрошенные другие SAN, в массиве с форматом |
private_key_format |
string (, der, pem, pkcs8) (default: der) | нет | Формат возвращаемого закрытого ключа. Обычно по умолчанию параметр "format" определяет формат либо base64-кодированного DER, либо PEM-кодированного DER. Однако можно задать значение "pkcs8", чтобы возвращаемый закрытый ключ содержал base64-кодировку pkcs8 или PEM-кодировку pkcs8. По умолчанию используется значение "der". |
remove_roots_from_chain |
boolean (default: False) | нет | Удалять или нет самоподписанные сертификаты ЦС в выводе поля ca_chain. |
serial_number |
string | нет | Запрашиваемый серийный номер субъекта, если таковой имеется. Описание этого поля см. в RFC 4519 Раздел 2.31 'serialNumber'. Если вам нужно более одного, укажите альтернативные имена в карте alt_names, используя OID 2.5.4.5. Это не влияет на поле серийного номера финального сертификата. |
ttl |
integer | нет | Запрашиваемое время жизни сертификата; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть больше, чем максимальный TTL роли. |
uri_sans |
array | нет | Запрашиваемые URI SAN, если таковые имеются, в виде списка, разделенного запятыми. |
user_ids |
array | нет | Запрашиваемое значение user_ids для размещения в теме, если таковое имеется, в виде списка, разделенного запятыми. Ограничивается значением allowed_user_ids. Любые значения добавляются с OID 0.9.2342.19200300.100.1.1. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ca_chain |
array | нет | Цепочка Сертификатов |
certificate |
string | нет | Сертификат |
expiration |
integer | нет | Время истечения |
issuing_ca |
string | нет | Выдающий Центр Сертификации |
private_key |
string | нет | Закрытый ключ |
private_key_type |
string | нет | Тип закрытого ключа |
serial_number |
string | нет | Серийный номер |
POST /{pki_mount_path}/tidy
ID операции: pki-tidy
Наведите порядок в бэкенде, удалив просроченные сертификаты, информацию об отзыве или и то, и другое.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_safety_buffer |
integer (default: 2592000) | нет | Количество времени, которое должно пройти после создания, чтобы аккаунт, не имеющий заказов, был помечен как отозванный, а также количество времени после того, как он был помечен как отозванный или деактивированный. |
issuer_safety_buffer |
integer (default: 31536000) | нет | Количество дополнительного времени, которое должно пройти после истечения срока действия эмитента, прежде чем он будет удален из внутреннего хранилища. По умолчанию 8760 часов (1 год). |
pause_duration |
string (default: 0s) | нет | Количество времени ожидания между сертификатами обработки. Это позволяет операторам изменять профиль выполнения tidy, чтобы он потреблял меньше ресурсов, замедляя время выполнения. Обратите внимание, что весь список сертификатов будет храниться в памяти в течение всей операции tidy, но ресурсы для чтения/обработки/обновления существующих записей будут распределены на больший промежуток времени. По умолчанию это ноль секунд. |
revocation_queue_safety_buffer |
integer (default: 172800) | нет | Количество времени, которое должно пройти с момента инициирования межкластерного запроса на отзыв до момента, когда он будет отправлен на удаление. Слишком низкое значение этого параметра может привести к удалению действительных запросов на отзыв до того, как кластер-владелец успеет их обработать, особенно если кластер находится в автономном режиме. |
safety_buffer |
integer (default: 259200) | нет | Количество дополнительного времени, которое должно пройти после истечения срока действия сертификата, чтобы он был удален из внутреннего хранилища и/или списка отзыва. По умолчанию 72 часа. |
tidy_acme |
boolean (default: False) | нет | Установите значение true, чтобы включить очистку счетов, заказов и авторизаций ACME. Заказы ACME убираются (удаляются) safety_buffer после истечения срока действия связанного с ними сертификата, или после истечения срока действия заказа и соответствующих авторизаций, если сертификат не был изготовлен. Авторизации удаляются вместе с соответствующим заказом. Когда возраст действующего аккаунта ACME составляет не менее acme_account_safety_buffer, и у него не остается связанных с ним заказов, аккаунт помечается как отозванный. После того как с даты отзыва или деактивации пройдет еще один буфер безопасности acme_account_safety_buffer, отозванный или деактивированный аккаунт ACME удаляется. |
tidy_cert_store |
boolean | нет | Установите значение true, чтобы разрешить очистку хранилища сертификатов |
tidy_cross_cluster_revoked_certs |
boolean | нет | Установите значение true, чтобы включить очистку межкластерного хранилища отозванных сертификатов. Запускается только на активном основном узле. |
tidy_expired_issuers |
boolean | нет | Установите значение true для автоматического удаления истекших эмитентов из буфера issuer_safety_buffer. Никакие ключи не будут удалены в ходе этой операции. |
tidy_move_legacy_ca_bundle |
boolean | нет | Установите значение true, чтобы переместить устаревший ca_bundle из /config/ca_bundle в /config/ca_bundle.bak. Это предотвращает переход на версии до Vault 1.11 (поскольку старые PKI-движки не знают о новой схеме хранения нескольких эмитентов), но улучшает производительность при монтировании PKI с печатью. Это произойдет только в том случае, если после первоначального переноса хранилища прошло не менее issuer_safety_buffer времени. Этот резерв сохраняется на случай возникновения проблем в будущих миграциях. При желании операторы могут удалить ее через sys/raw. Резервная копия будет удалена вызовом DELETE /root, но обратите внимание, что при этом удаляются ВСЕ эмитенты в пределах монтирования (и, следовательно, это нежелательно в большинстве сценариев работы). |
tidy_revocation_list |
boolean | нет | Утратил силу; синоним для 'tidy_revoked_certs |
tidy_revocation_queue |
boolean (default: False) | нет | Установите значение true, чтобы удалить устаревшие записи очереди отзыва, которые не были подтверждены ни одним активным кластером. Запускается только на активном основном узле |
tidy_revoked_cert_issuer_associations |
boolean | нет | Установите значение true для проверки ассоциаций эмитентов в записях отзыва. Это помогает повысить производительность создания CRL и ответов OCSP. |
tidy_revoked_certs |
boolean | нет | Установите значение true, чтобы прекратить действие всех отозванных и просроченных сертификатов, удалив их как из CRL, так и из хранилища. CRL будет ротирован, если это приведет к удалению каких-либо значений. |
Ответы
202: Принято
POST /{pki_mount_path}/tidy-cancel
ID операции: pki-tidy-cancel
Отменяет текущую операцию tidy.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_deleted_count |
integer | нет | Количество удалённых отозванных аккаунтов acme |
acme_account_revoked_count |
integer | нет | Количество отозванных неиспользуемых аккаунтов acme |
acme_account_safety_buffer |
integer | нет | Буфер безопасности после создания, после которого аккаунты, у которых нет заказов, будут отозваны |
acme_orders_deleted_count |
integer | нет | Количество удалённых просроченных, неиспользованных заказов acme |
cert_store_deleted_count |
integer | нет | Количество удаленных записей хранилища сертификатов |
cross_revoked_cert_deleted_count |
integer | нет | |
current_cert_store_count |
integer | нет | Количество удалённых записей отзыва сертификатов |
current_revoked_cert_count |
integer | нет | Количество удалённых записей отзыва сертификатов |
error |
string | нет | Сообщение об ошибке |
internal_backend_uuid |
string | нет | |
issuer_safety_buffer |
integer | нет | Буфер безопасности издателя |
last_auto_tidy_finished |
string | нет | Время завершения последней автоматической операции очистки |
message |
string | нет | Сообщение операции |
missing_issuer_cert_count |
integer | нет | |
pause_duration |
string | нет | Время паузы между упорядочиванием сертификатов |
revocation_queue_deleted_count |
integer | нет | |
revocation_queue_safety_buffer |
integer | нет | Буфер безопасности очереди отзыва |
revoked_cert_deleted_count |
integer | нет | Количество удалённых записей отзыва сертификатов |
safety_buffer |
integer | нет | Длительность временного буфера безопасности |
state |
string | нет | Одно из: неактивен, работает, завершен или ошибка |
tidy_acme |
boolean | нет | Очистка неиспользуемых аккаунтов и заказов Acme |
tidy_cert_store |
boolean | нет | Запускает очистку хранилища сертификатов |
tidy_cross_cluster_revoked_certs |
boolean | нет | Очистка кросс-кластерного хранилища отозванных сертификатов |
tidy_expired_issuers |
boolean | нет | Очистка истекших издателей |
tidy_move_legacy_ca_bundle |
boolean | нет | |
tidy_revocation_queue |
boolean | нет | |
tidy_revoked_cert_issuer_associations |
boolean | нет | Очистка ассоциаций отозванных сертификатов и их издателей |
tidy_revoked_certs |
boolean | нет | Очистка отозванных сертификатов |
time_finished |
string | нет | Время завершения операции |
time_started |
string | нет | Время начала операции |
total_acme_account_count |
integer | нет | Общее количество пройденных аккаунтов acme |
GET /{pki_mount_path}/tidy-status
ID операции: pki-tidy-status
Возвращает статус операции tidy.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acme_account_deleted_count |
integer | нет | Количество удалённых отозванных аккаунтов acme |
acme_account_revoked_count |
integer | нет | Количество отозванных неиспользуемых аккаунтов acme |
acme_account_safety_buffer |
integer | нет | Буфер безопасности после создания, после которого аккаунты, у которых нет заказов, будут отозваны |
acme_orders_deleted_count |
integer | нет | Количество удалённых просроченных, неиспользованных заказов acme |
cert_store_deleted_count |
integer | нет | Количество удаленных записей хранилища сертификатов |
cross_revoked_cert_deleted_count |
integer | нет | |
current_cert_store_count |
integer | нет | Количество удалённых записей отзыва сертификатов |
current_revoked_cert_count |
integer | нет | Количество удалённых записей отзыва сертификатов |
error |
string | нет | Сообщение об ошибке |
internal_backend_uuid |
string | нет | |
issuer_safety_buffer |
integer | нет | Буфер безопасности издателя |
last_auto_tidy_finished |
string | нет | Время завершения последней автоматической операции очистки |
message |
string | нет | Сообщение операции |
missing_issuer_cert_count |
integer | нет | |
pause_duration |
string | нет | Время паузы между упорядочиванием сертификатов |
revocation_queue_deleted_count |
integer | нет | |
revocation_queue_safety_buffer |
integer | нет | Буфер безопасности очереди отзыва |
revoked_cert_deleted_count |
integer | нет | Количество удалённых записей отзыва сертификатов |
safety_buffer |
integer | нет | Длительность временного буфера безопасности |
state |
string | нет | Одно из: неактивен, работает, завершен или ошибка |
tidy_acme |
boolean | нет | Очистка неиспользуемых аккаунтов и заказов Acme |
tidy_cert_store |
boolean | нет | Запускает очистку хранилища сертификатов |
tidy_cross_cluster_revoked_certs |
boolean | нет | Очистка кросс-кластерного хранилища отозванных сертификатов |
tidy_expired_issuers |
boolean | нет | Очистка истекших издателей |
tidy_move_legacy_ca_bundle |
boolean | нет | |
tidy_revocation_queue |
boolean | нет | |
tidy_revoked_cert_issuer_associations |
boolean | нет | Очистка ассоциаций отозванных сертификатов и их издателей |
tidy_revoked_certs |
boolean | нет | Очистка отозванных сертификатов |
time_finished |
string | нет | Время завершения операции |
time_started |
string | нет | Время начала операции |
total_acme_account_count |
integer | нет | Общее количество пройденных аккаунтов acme |
GET /{pki_mount_path}/unified-crl
ID операции: pki-read-unified-crl-der
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{pki_mount_path}/unified-crl/delta
ID операции: pki-read-unified-crl-delta
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{pki_mount_path}/unified-crl/delta/pem
ID операции: pki-read-unified-crl-delta-pem
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{pki_mount_path}/unified-crl/pem
ID операции: pki-read-unified-crl-pem
Получите центр сертификации, CRL, цепочку центров сертификации или не отозванный сертификат.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{pki_mount_path}/unified-ocsp
ID операции: pki-query-unified-ocsp
Запрос статуса отзыва сертификата через OCSP'
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{pki_mount_path}/unified-ocsp/{req}
ID операции: pki-query-unified-ocsp-with-get-req
Запрос статуса отзыва сертификата через OCSP'
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
req |
string | path | да | запрос ocsp в кодировке base-64 |
pki_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{rabbitmq_mount_path}/config/connection
ID операции: rabbit-mq-configure-connection
Настроить URI подключения, имя пользователя и пароль для работы с RabbitMQ management HTTP API.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
connection_uri |
string | нет | URI управления RabbitMQ |
password |
string | нет | Пароль предоставленного пользователя управления RabbitMQ |
password_policy |
string | нет | Имя политики паролей, используемой для генерации паролей для динамических учетных данных. |
username |
string | нет | Имя пользователя администратора управления RabbitMQ |
username_template |
string | нет | Шаблон, описывающий, как генерируются динамические имена пользователей. |
verify_connection |
boolean (default: True) | нет | Если установлено, connection_uri проверяется путем фактического подключения к API управления RabbitMQ. |
Ответы
200: OK
GET /{rabbitmq_mount_path}/config/lease
ID операции: rabbit-mq-read-lease-configuration
Настройка параметров аренды для сгенерированных учетных данных
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{rabbitmq_mount_path}/config/lease
ID операции: rabbit-mq-configure-lease
Настройка параметров аренды для сгенерированных учетных данных
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
max_ttl |
integer (default: 0) | нет | Срок, по истечении которого выданные учетные данные не должны быть возобновлены |
ttl |
integer (default: 0) | нет | Срок, до которого необходимо обновить выданные учетные данные |
Ответы
200: OK
GET /{rabbitmq_mount_path}/creds/{name}
ID операции: rabbit-mq-request-credentials
Запросите учетные данные RabbitMQ для определенной роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{rabbitmq_mount_path}/roles
ID операции: rabbit-mq-list-roles
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{rabbitmq_mount_path}/roles/{name}
ID операции: rabbit-mq-read-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{rabbitmq_mount_path}/roles/{name}
ID операции: rabbit-mq-write-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
tags |
string | нет | Список тегов для этой роли, разделенный запятыми. |
vhost_topics |
string | нет | Вложенная карта виртуальных хостов и обменов с правами доступа к темам. |
vhosts |
string | нет | Карта виртуальных хостов для разрешений. |
Ответы
200: OK
DELETE /{rabbitmq_mount_path}/roles/{name}
ID операции: rabbit-mq-delete-role
Управление ролями, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название роли. |
rabbitmq_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{ssh_mount_path}/config/ca
ID операции: ssh-read-ca-configuration
Установите SSH-ключ, используемый для подписи сертификатов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ssh_mount_path}/config/ca
ID операции: ssh-configure-ca
Установите SSH-ключ, используемый для подписи сертификатов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
generate_signing_key |
boolean (default: True) | нет | Генерируйте пару ключей SSH самостоятельно, а не используйте поля private_key и public_key. |
key_bits |
integer (default: 0) | нет | Указывает желаемые биты ключа при генерации ключей переменной длины (например, при key_type="ssh-rsa") или P-кривую NIST, которую следует использовать при key_type="ec" (256, 384 или 521). |
key_type |
string (default: ssh-rsa) | нет | Указывает желаемый тип ключа при генерации; может быть идентификатором типа ключа OpenSSH (ssh-rsa, ecdsa-sha2-nistp256, ecdsa-sha2-nistp384, ecdsa-sha2-nistp521 или ssh-ed25519) или алгоритмом (rsa, ec, ed25519). |
private_key |
string | нет | Приватная половина SSH-ключа, который будет использоваться для подписи сертификатов. |
public_key |
string | нет | Публичная половина SSH-ключа, который будет использоваться для подписи сертификатов. |
Ответы
200: OK
DELETE /{ssh_mount_path}/config/ca
ID операции: ssh-delete-ca-configuration
Установите SSH-ключ, используемый для подписи сертификатов.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{ssh_mount_path}/config/zeroaddress
ID операции: ssh-read-zero-address-configuration
Назначает нулевой адрес в качестве блока CIDR по умолчанию для выбранных ролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ssh_mount_path}/config/zeroaddress
ID операции: ssh-configure-zero-address
Назначает нулевой адрес в качестве блока CIDR по умолчанию для выбранных ролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
roles |
array | нет | [Обязательный] Список имен ролей, разделенных запятыми, который позволяет запрашивать учетные данные для любого IP-адреса. Блоки CIDR, ранее зарегистрированные под этими ролями, будут игнорироваться. |
Ответы
200: OK
DELETE /{ssh_mount_path}/config/zeroaddress
ID операции: ssh-delete-zero-address-configuration
Назначает нулевой адрес в качестве блока CIDR по умолчанию для выбранных ролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{ssh_mount_path}/creds/{role}
ID операции: ssh-generate-credentials
Создает учетные данные для установления SSH соединения с удаленным хостом.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | [Обязательный] Имя роли |
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ip |
string | нет | [Обязательный] IP-адрес удаленного узла |
username |
string | нет | [Необязательно] Имя пользователя на удаленном хосте |
Ответы
200: OK
POST /{ssh_mount_path}/issue/{role}
ID операции: ssh-issue-certificate
Запросите сертификат, используя определенную роль с указанными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль с конфигурацией для данного запроса. |
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cert_type |
string (default: user) | нет | Тип создаваемого сертификата; либо "пользователь", либо "хост". |
critical_options |
object | нет | Критические параметры, для которых должен быть подписан сертификат. |
extensions |
object | нет | Расширения, для которых должен быть подписан сертификат. |
key_bits |
integer (default: 0) | нет | Указывает количество бит, используемых для генерируемых ключей. |
key_id |
string | нет | Идентификатор ключа, который должен быть у создаваемого сертификата. Если он не указан, будет использоваться отображаемое имя токена. |
key_type |
string (default: rsa) | нет | Указывает желаемый тип ключа; должен быть rsa, ed25519 или ec. |
ttl |
integer | нет | Запрашиваемое время жизни для сертификата SSH; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть позже, чем максимальный TTL роли. |
valid_principals |
string | нет | Действительные принципалы, либо имена пользователей, либо имена хостов, для которых должен быть подписан сертификат. |
Ответы
200: OK
POST /{ssh_mount_path}/lookup
ID операции: ssh-list-roles-by-ip
Список всех ролей, связанных с данным IP-адресом.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ip |
string | нет | [Обязательный] IP-адрес удаленного узла |
Ответы
200: OK
GET /{ssh_mount_path}/public_key
ID операции: ssh-read-public-key
Получает открытый ключ.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{ssh_mount_path}/roles
ID операции: ssh-list-roles
Управление "ролями", которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{ssh_mount_path}/roles/{role}
ID операции: ssh-read-role
Управление "ролями", которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | [Обязательный для всех типов] Имя создаваемой роли. |
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{ssh_mount_path}/roles/{role}
ID операции: ssh-write-role
Управление "ролями", которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | [Обязательный для всех типов] Имя создаваемой роли. |
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm_signer |
string (, default, ssh-rsa, rsa-sha2-256, rsa-sha2-512) | нет | [Неприменимо для типа OTP] [Необязательно для типа CA] При указании этого значения задается алгоритм подписи для ключа. Возможные значения: ssh-rsa, rsa-sha2-256, rsa-sha2-512, default или пустая строка. |
allow_bare_domains |
boolean | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, запрашиваемым сертификатам хоста разрешается использовать базовые домены, перечисленные в "allowed_domains", например "example.com". Это отдельная опция, поскольку в некоторых случаях это может рассматриваться как угроза безопасности. |
allow_host_certificates |
boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, сертификаты разрешено подписывать для использования в качестве "хоста". |
allow_subdomains |
boolean | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, запрашиваемым сертификатам хоста разрешается использовать поддомены из списка "allowed_domains". |
allow_user_certificates |
boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, сертификаты разрешено подписывать для использования в качестве "пользователя". |
allow_user_key_ids |
boolean | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если true, пользователи могут переопределить идентификатор ключа для подписанного сертификата с помощью поля "key_id". Если значение false, идентификатором ключа всегда будет отображаемое имя токена. Идентификатор ключа записывается в журнал на сервере SSH и может быть полезен для аудита. |
allowed_critical_options |
string | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Список критических опций, которые могут быть у сертификатов при подписании, разделенный запятыми. Чтобы разрешить любые критические параметры, установите это значение в пустую строку. |
allowed_domains |
string | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если этот параметр не указан, клиент может запросить подписанный сертификат для любого действительного хоста. Если разрешены только определенные домены, то этот список обеспечивает это. |
allowed_domains_template |
boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, разрешенные домены могут быть указаны с помощью политик шаблонов идентификации. Домены без шаблонов также разрешены. |
allowed_extensions |
string | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Список расширений, которые могут быть у сертификатов при подписании, разделенный запятыми. Пустой список означает, что конечный пользователь не может переопределять расширения; явно укажите '*', чтобы разрешить установку любых расширений. |
allowed_user_key_lengths |
object | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, позволяет использовать типы ключей и минимальные размеры ключей для подписи. |
allowed_users |
string | нет | [Необязательно для всех типов] [Работает по-разному для типа CA] Если этот параметр не указан или имеет значение '', клиент может запросить учетные данные для любого действительного пользователя на удаленном узле, включая пользователя admin. Если должны быть разрешены только определенные имена пользователей, то этот список обеспечит это. Если это поле установлено, то учетные данные могут быть созданы только для default_user и имен пользователей, присутствующих в этом списке. Установка этого параметра позволит всем пользователям с доступом к этой роли получать учетные данные для всех остальных имен пользователей в этом списке. Используйте с осторожностью. N.B.: для типа CA пустой список означает, что ни один пользователь не разрешен; укажите '', чтобы разрешить любого пользователя. |
allowed_users_template |
boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, разрешенные пользователи могут быть указаны с помощью политик шаблонов идентификации. Пользователи без шаблонов также разрешены. |
cidr_list |
string | нет | [Необязательно для типа OTP] [Не применимо для типа CA] Список блоков CIDR, для которых применима роль, разделенный запятыми. Блоки CIDR могут принадлежать более чем одной роли. |
default_critical_options |
object | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Критические параметры, которыми должны обладать сертификаты, если при подписании они не были предоставлены. Это поле принимает пары ключ-значение в формате JSON. Обратите внимание, что они не ограничены параметром "allowed_critical_options". По умолчанию - нет. |
default_extensions |
object | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Расширения, которые должны быть у сертификатов, если они не были предоставлены при подписании. Это поле принимает пары ключ-значение в формате JSON. Обратите внимание, что они не ограничены параметром "allowed_extensions". По умолчанию - нет. |
default_extensions_template |
boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, значения расширения по умолчанию могут быть указаны с помощью политик шаблонов идентификации. Также допускается использование нешаблонных значений расширения. |
default_user |
string | нет | [Обязательно для типа OTP] [Необязательно для типа CA] Имя пользователя по умолчанию, для которого будет сгенерирован мандат. Если метод 'creds/' используется без имени пользователя, это значение будет использоваться в качестве имени пользователя по умолчанию. |
default_user_template |
boolean (default: False) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Если установлено, пользователь по умолчанию может быть указан с помощью политик шаблонов идентификации. Пользователи без шаблонов также разрешены. |
exclude_cidr_list |
string | нет | [Необязательно для типа OTP] [Не применимо для типа CA] Список блоков CIDR, разделенных запятыми. IP-адреса, принадлежащие этим блокам, не принимаются ролью. Это особенно полезно, когда роль использует большие блоки CIDR и некоторые их части должны быть закрыты. |
key_id_format |
string | нет | [Неприменимо для типа OTP] [Необязательно для типа CA] При указании этого значения задается пользовательский формат идентификатора ключа подписанного сертификата. Для использования доступны следующие переменные: '{{token_display_name}}' - Отображаемое имя токена, используемого для выполнения запроса. '{{role_name}}' - Имя роли, подписывающей запрос. '{{public_key_hash}}' - Контрольная сумма SHA256 открытого ключа, который подписывается. |
key_type |
string (otp, ca) | нет | [Обязательный для всех типов] Тип ключа, используемого для входа на хосты. Он может быть либо 'otp', либо 'ca'. Тип 'otp' требует установки агента на удаленных хостах. |
max_ttl |
integer | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Максимально допустимая продолжительность аренды |
not_before_duration |
integer (default: 30) | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Продолжительность, на которую должен быть отсрочен сертификат SSH при выпуске. |
port |
integer | нет | [Необязательно для типа OTP] [Не применимо для типа CA] Номер порта для SSH-соединения. По умолчанию - '22'. Номер порта не играет никакой роли при создании OTP. Для типа 'otp' это просто способ сообщить клиенту номер порта, который необходимо использовать. Номер порта будет возвращен клиенту сервером Vault вместе с OTP. |
ttl |
integer | нет | [Не применимо для типа OTP] [Необязательно для типа CA] Продолжительность аренды, если не запрашивается конкретная продолжительность аренды. Продолжительность аренды контролирует истечение срока действия сертификатов, выпущенных этим бэкэндом. По умолчанию соответствует значению max_ttl. |
Ответы
200: OK
DELETE /{ssh_mount_path}/roles/{role}
ID операции: ssh-delete-role
Управление "ролями", которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | [Обязательный для всех типов] Имя создаваемой роли. |
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{ssh_mount_path}/sign/{role}
ID операции: ssh-sign-certificate
Запросите подпись SSH-ключа с использованием определенной роли с предоставленными данными.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role |
string | path | да | Желаемая роль с конфигурацией для данного запроса. |
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cert_type |
string (default: user) | нет | Тип создаваемого сертификата; либо "пользователь", либо "хост". |
critical_options |
object | нет | Критические параметры, для которых должен быть подписан сертификат. |
extensions |
object | нет | Расширения, для которых должен быть подписан сертификат. |
key_id |
string | нет | Идентификатор ключа, который должен быть у создаваемого сертификата. Если он не указан, будет использоваться отображаемое имя токена. |
public_key |
string | нет | Открытый ключ SSH, который должен быть подписан. |
ttl |
integer | нет | Запрашиваемое время жизни для сертификата SSH; устанавливает дату истечения срока действия. Если не указано, используется TTL по умолчанию роли, по умолчанию бэкенда или по умолчанию системы, в этом порядке. Не может быть позже, чем максимальный TTL роли. |
valid_principals |
string | нет | Действительные принципалы, либо имена пользователей, либо имена хостов, для которых должен быть подписан сертификат. |
Ответы
200: OK
DELETE /{ssh_mount_path}/tidy/dynamic-keys
ID операции: ssh-tidy-dynamic-host-keys
Обращение к этому методу удаляет сохраненные хост-ключи, используемые для удаленной функции динамического ключа, если они присутствуют.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{ssh_mount_path}/verify
ID операции: ssh-verify-otp
Проверить OTP, предоставленный агентом SSH Vault.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ssh_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
otp |
string | нет | [Обязательный] Одноразовый ключ, который необходимо подтвердить |
Ответы
200: OK
GET /{totp_mount_path}/code/{name}
ID операции: totp-generate-code
Запрос одноразового пароля на основе времени или проверка пароля для определенного ключа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название ключа. |
totp_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{totp_mount_path}/code/{name}
ID операции: totp-validate-code
Запрос одноразового пароля на основе времени или проверка пароля для определенного ключа.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название ключа. |
totp_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
code |
string | нет | Код TOTP должен быть подтвержден. |
Ответы
200: OK
GET /{totp_mount_path}/keys
ID операции: totp-list-keys
Управление ключами, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
totp_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{totp_mount_path}/keys/{name}
ID операции: totp-read-key
Управление ключами, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название ключа. |
totp_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string | query | нет | Возвращает список, если true. |
Ответы
200: OK
POST /{totp_mount_path}/keys/{name}
ID операции: totp-create-key
Управление ключами, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название ключа. |
totp_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
account_name |
string | нет | Имя учетной записи, связанной с ключом. Требуется, если значение generate равно true. |
algorithm |
string (default: SHA1) | нет | Алгоритм хэширования, используемый для генерации токена TOTP. Варианты включают SHA1, SHA256 и SHA512. |
digits |
integer (default: 6) | нет | Количество цифр в генерируемом TOTP-токене. Это значение может быть либо 6, либо 8. |
exported |
boolean (default: True) | нет | Определяет, возвращать ли QR-код и url при генерации ключа. Используется только в том случае, если значение generate равно true. |
generate |
boolean (default: False) | нет | Определяет, должен ли ключ быть сгенерирован Vault или ключ передается из другого сервиса. |
issuer |
string | нет | Имя организации, выдавшей ключ. Требуется, если значение generate равно true. |
key |
string | нет | Общий мастер-ключ, используемый для генерации токена TOTP. Используется только в том случае, если значение generate равно false. |
key_size |
integer (default: 20) | нет | Определяет размер в байтах генерируемого ключа. Используется только в том случае, если generate равно true. |
period |
integer (default: 30) | нет | Длительность времени, используемого для генерации счетчика для расчета токена TOTP. |
qr_size |
integer (default: 200) | нет | Размер в пикселях сгенерированного квадратного QR-кода. Используется только в том случае, если generate - true и exported - true. Если это значение равно 0, QR-код не будет возвращен. |
skew |
integer (default: 1) | нет | Количество периодов задержки, допустимых при проверке токена TOTP. Это значение может быть либо 0, либо 1. Используется только в том случае, если значение generate равно true. |
url |
string | нет | Строка TOTP url, содержащая все параметры для настройки ключа. Используется только в том случае, если значение generate равно false. |
Ответы
200: OK
DELETE /{totp_mount_path}/keys/{name}
ID операции: totp-delete-key
Управление ключами, которые могут быть созданы с помощью этого бэкэнда.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Название ключа. |
totp_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /{transit_mount_path}/backup/{name}
ID операции: transit-back-up-key
Резервное копирование именованного ключа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{transit_mount_path}/byok-export/{destination}/{source}
ID операции: transit-byok-key
Безопасный экспорт именованного ключа шифрования или подписи
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
destination |
string | path | да | Ключ назначения для экспорта; обычно это открытый ключ обертки другого экземпляра Transit. |
source |
string | path | да | Исходный ключ для экспорта; это может быть любой присутствующий ключ в Transit. |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{transit_mount_path}/byok-export/{destination}/{source}/{version}
ID операции: transit-byok-key-version
Безопасный экспорт именованного ключа шифрования или подписи
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
destination |
string | path | да | Ключ назначения для экспорта; обычно это открытый ключ обертки другого экземпляра Transit. |
source |
string | path | да | Исходный ключ для экспорта; это может быть любой присутствующий ключ в Transit. |
version |
string | path | да | Необязательная версия ключа для экспорта, в противном случае экспортируются все версии ключа. |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{transit_mount_path}/cache-config
ID операции: transit-read-cache-configuration
Возвращает размер активного кэша
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{transit_mount_path}/cache-config
ID операции: transit-configure-cache
Настраивает новый кэш указанного размера
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
size |
integer (default: 0) | нет | Размер кэша, используйте 0 для неограниченного размера кэша, по умолчанию 0 |
Ответы
200: OK
GET /{transit_mount_path}/config/keys
ID операции: transit-read-keys-configuration
Конфигурация, общая для всех ключей
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{transit_mount_path}/config/keys
ID операции: transit-configure-keys
Конфигурация, общая для всех ключей
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disable_upsert |
boolean | нет | Разрешить ли автоматическую установку (создание) ключей. |
Ответы
200: OK
POST /{transit_mount_path}/datakey/{plaintext}/{name}
ID операции: transit-generate-data-key
Создайте ключ данных
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Ключ бэкэнда, используемый для шифрования данных |
plaintext |
string | path | да | "plaintext" вернет ключ как в открытом, так и в зашифрованном виде; "wrapped" вернет только зашифрованный текст. |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bits |
integer (default: 256) | нет | Количество бит для ключа; в настоящее время поддерживаются 128, 256 и 512 бит. По умолчанию используется значение 256. |
context |
string | нет | Контекст для выведения ключей. Требуется для производных ключей. |
key_version |
integer | нет | Версия ключа Vault, которую следует использовать для шифрования ключа данных. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа. |
nonce |
string | нет | Нонс для использования конвергентного шифрования v1 (только в Vault 0.6.1) |
Ответы
200: OK
POST /{transit_mount_path}/decrypt/{name}
ID операции: transit-decrypt
Расшифруйте значение шифротекста с помощью именованного ключа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
associated_data |
string | нет | При использовании режима шифрования AEAD, например AES-GCM, этот параметр позволяет передавать связанные данные (AD/AAD) в функцию шифрования; эти данные должны передаваться при последующих запросах на дешифрование, но могут передаваться в открытом виде. При успешном расшифровании и шифротекст, и ассоциированные данные подтверждаются, что они не были подделаны. |
batch_input |
array | нет | Указывает список элементов, которые должны быть расшифрованы в одной партии. При задании этого параметра, если параметры 'ciphertext', 'context' и 'nonce' также заданы, они будут проигнорированы. Любой пакетный вывод будет сохранять порядок ввода пакета. |
ciphertext |
string | нет | Шифротекст для расшифровки, который возвращается командой encrypt. |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена. |
nonce |
string | нет | Закодированное в Base64 значение nonce, используемое при шифровании. Должно быть указано, если для этого ключа включено конвергентное шифрование и ключ был создан в Vault 0.6.1. Не требуется для ключей, созданных в версии 0.6.2+. |
partial_failure_response_code |
integer | нет | Обычно, если пакетный элемент не удается расшифровать из-за плохого ввода, но другие пакетные элементы работают успешно, код ответа HTTP равен 400 (плохой запрос). Некоторые приложения могут захотеть обрабатывать частичные сбои по-другому. В этом случае при указании параметра вместо 400 возвращается целое число с заданным кодом ответа. Если все значения не сработали, все равно возвращается HTTP 400. |
Ответы
200: OK
POST /{transit_mount_path}/encrypt/{name}
ID операции: transit-encrypt
Зашифруйте значение открытого текста или пакет блоков открытого текста блоков с помощью именованного ключа
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
associated_data |
string | нет | При использовании режима шифрования AEAD, например AES-GCM, этот параметр позволяет передавать связанные данные (AD/AAD) в функцию шифрования; эти данные должны передаваться при последующих запросах на дешифрование, но могут передаваться в открытом виде. При успешном расшифровании и шифротекст, и ассоциированные данные подтверждаются, что они не были подделаны. |
batch_input |
array | нет | Указывает список элементов, которые должны быть зашифрованы в одном пакете. При задании этого параметра, если параметры 'plaintext', 'context' и 'nonce' также заданы, они будут проигнорированы. Любой пакетный вывод будет сохранять порядок ввода пакета. |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена |
convergent_encryption |
boolean | нет | Этот параметр будет использоваться только в том случае, если предполагается создание ключа. Поддерживать ли конвергентное шифрование. Поддерживается только при использовании ключа с включенной функцией деривации ключа и требует, чтобы все запросы содержали контекст и 96-битный (12-байтный) nonce. Данный нонс будет использоваться вместо случайно сгенерированного нонса. В результате, при предоставлении одинакового контекста и nonce будет сгенерирован один и тот же шифртекст. При использовании этого режима очень важно убедиться, что все несы уникальны для данного контекста. В противном случае безопасность шифротекста будет сильно снижена. |
key_version |
integer | нет | Версия ключа, используемая для шифрования. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа. |
nonce |
string | нет | Закодированное в Base64 значение nonce. Должно быть предоставлено, если для этого ключа включено конвергентное шифрование и ключ был создан с помощью Vault 0.6.1. Не требуется для ключей, созданных в версии 0.6.2+. Значение должно иметь длину ровно 96 бит (12 байт), и пользователь должен убедиться, что для любого заданного контекста (и, следовательно, для любого заданного ключа шифрования) это значение nonce никогда не используется повторно. |
partial_failure_response_code |
integer | нет | Обычно, если пакетный элемент не удается зашифровать из-за плохого ввода, но другие пакетные элементы работают успешно, код ответа HTTP равен 400 (плохой запрос). Некоторые приложения могут захотеть обрабатывать частичные сбои по-другому. В этом случае при указании параметра вместо 400 возвращается целое число с заданным кодом ответа. Если все значения не сработали, все равно возвращается HTTP 400. |
plaintext |
string | нет | Зашифрованное в Base64 значение открытого текста для шифрования |
type |
string (default: aes256-gcm96) | нет | Этот параметр необходим, если предполагается создать ключ шифрования. При выполнении операции upsert - тип создаваемого ключа. В настоящее время поддерживаются только типы "aes128-gcm96" (симметричный) и "aes256-gcm96" (симметричный). По умолчанию используется "aes256-gcm96". |
Ответы
200: OK
GET /{transit_mount_path}/export/{type}/{name}
ID операции: transit-export-key
Экспорт именованного ключа шифрования или подписи
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
type |
string | path | да | Тип ключа для экспорта (ключ шифрования, ключ подписи, hmac-ключ, открытый ключ) |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /{transit_mount_path}/export/{type}/{name}/{version}
ID операции: transit-export-key-version
Экспорт именованного ключа шифрования или подписи
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
type |
string | path | да | Тип ключа для экспорта (ключ шифрования, ключ подписи, hmac-ключ, открытый ключ) |
version |
string | path | да | Версия ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{transit_mount_path}/hash
ID операции: transit-hash
Сгенерируйте хеш-сумму для входных данных
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Используемый алгоритм (параметр тела POST). Допустимые значения: * sha2-224 * sha2-256 * sha2-384 * sha2-512 * sha3-224 * sha3-256 * sha3-384 * sha3-512 По умолчанию - "sha2-256". |
format |
string (default: hex) | нет | Используемый формат кодировки. Может быть "hex" или "base64". По умолчанию используется "hex". |
input |
string | нет | Входные данные в кодировке base64 |
urlalgorithm |
string | нет | Используемый алгоритм (параметр POST URL) |
Ответы
200: OK
POST /{transit_mount_path}/hash/{urlalgorithm}
ID операции: transit-hash-with-algorithm
Сгенерируйте хеш-сумму для входных данных
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
urlalgorithm |
string | path | да | Используемый алгоритм (параметр POST URL) |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Используемый алгоритм (параметр тела POST). Допустимые значения: * sha2-224 * sha2-256 * sha2-384 * sha2-512 * sha3-224 * sha3-256 * sha3-384 * sha3-512 По умолчанию - "sha2-256". |
format |
string (default: hex) | нет | Используемый формат кодировки. Может быть "hex" или "base64". По умолчанию используется "hex". |
input |
string | нет | Входные данные в кодировке base64 |
Ответы
200: OK
POST /{transit_mount_path}/hmac/{name}
ID операции: transit-generate-hmac
Создайте HMAC для входных данных, используя именованный ключ
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Ключ, используемый для функции HMAC |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Используемый алгоритм (параметр тела POST). Допустимые значения: * sha2-224 * sha2-256 * sha2-384 * sha2-512 * sha3-224 * sha3-256 * sha3-384 * sha3-512 По умолчанию - "sha2-256". |
batch_input |
array | нет | Задает список элементов, которые будут обрабатываться в одной партии. При задании этого параметра, если параметр 'input' также задан, он будет проигнорирован. При выводе любой партии сохраняется порядок ввода партии. |
input |
string | нет | Входные данные в кодировке base64 |
key_version |
integer | нет | Версия ключа, используемая для генерации HMAC. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа. |
urlalgorithm |
string | нет | Используемый алгоритм (параметр POST URL) |
Ответы
200: OK
POST /{transit_mount_path}/hmac/{name}/{urlalgorithm}
ID операции: transit-generate-hmac-with-algorithm
Создайте HMAC для входных данных, используя именованный ключ
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Ключ, используемый для функции HMAC |
urlalgorithm |
string | path | да | Используемый алгоритм (параметр POST URL) |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Используемый алгоритм (параметр тела POST). Допустимые значения: * sha2-224 * sha2-256 * sha2-384 * sha2-512 * sha3-224 * sha3-256 * sha3-384 * sha3-512 По умолчанию - "sha2-256". |
batch_input |
array | нет | Задает список элементов, которые будут обрабатываться в одной партии. При задании этого параметра, если параметр 'input' также задан, он будет проигнорирован. При выводе любой партии сохраняется порядок ввода партии. |
input |
string | нет | Входные данные в кодировке base64 |
key_version |
integer | нет | Версия ключа, используемая для генерации HMAC. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа. |
Ответы
200: OK
GET /{transit_mount_path}/keys
ID операции: transit-list-keys
Управляемые именованные ключи шифрования
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /{transit_mount_path}/keys/{name}
ID операции: transit-read-key
Управляемые именованные ключи шифрования
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /{transit_mount_path}/keys/{name}
ID операции: transit-create-key
Управляемые именованные ключи шифрования
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_plaintext_backup |
boolean | нет | Включает создание резервной копии именованного ключа в формате открытого текста. После установки этот параметр нельзя отключить. |
auto_rotate_period |
integer (default: 0) | нет | Количество времени, которое ключ должен прожить перед автоматическим поворотом. Значение 0 (по умолчанию) отключает автоматический поворот ключа. |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа. При чтении ключа с включенной деривацией ключей, если тип ключа поддерживает открытые ключи, это вернет открытый ключ для данного контекста. |
convergent_encryption |
boolean | нет | Поддерживать ли конвергентное шифрование. Поддерживается только при использовании ключа с включенной функцией деривации ключа и требует, чтобы все запросы содержали контекст и 96-битный (12-байтный) nonce. Указанный нонс будет использоваться вместо случайно сгенерированного нонса. В результате, при предоставлении одинакового контекста и nonce будет сгенерирован один и тот же шифртекст. При использовании этого режима очень важно убедиться, что все несы уникальны для данного контекста. В противном случае безопасность шифротекста будет сильно снижена. |
derived |
boolean | нет | Включает режим выведения ключей. Это позволяет использовать уникальные ключи для операций шифрования на каждую транзакцию. |
exportable |
boolean | нет | Включает возможность экспорта ключей. Это позволяет экспортировать все действующие ключи в связке ключей. |
key_size |
integer (default: 0) | нет | Размер ключа в байтах для данного алгоритма. Применяется только для HMAC и должен быть не менее 32 и не более 512 байт. |
managed_key_id |
string | нет | UUID управляемого ключа, который следует использовать для этого транзитного ключа |
managed_key_name |
string | нет | Имя управляемого ключа, используемого для этого транзитного ключа |
type |
string (default: aes256-gcm96) | нет | Тип создаваемого ключа. В настоящее время "aes128-gcm96" (симметричный), "aes256-gcm96" (симметричный), "ecdsa-p256" (асимметричный), "ecdsa-p384" (асимметричный), "ecdsa-p521" (асимметричный), "ed25519" (асимметричный), "rsa-2048" (асимметричный), "rsa-3072" (асимметричный), "rsa-4096" (асимметричный) поддерживаются. По умолчанию установлено значение "aes256-gcm96". |
Ответы
200: OK
DELETE /{transit_mount_path}/keys/{name}
ID операции: transit-delete-key
Управляемые именованные ключи шифрования
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /{transit_mount_path}/keys/{name}/config
ID операции: transit-configure-key
Настройка именованного ключа шифрования
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_plaintext_backup |
boolean | нет | Включает создание резервной копии именованного ключа в формате открытого текста. После установки этот параметр нельзя отключить. |
auto_rotate_period |
integer | нет | Количество времени, которое ключ должен прожить перед автоматическим поворотом. Значение 0 отключает автоматический поворот ключа. |
deletion_allowed |
boolean | нет | Разрешить ли удаление ключа |
exportable |
boolean | нет | Включает экспорт ключа. После установки этот параметр нельзя отключить. |
min_decryption_version |
integer | нет | Если установлено, минимальная версия ключа, разрешенная для расшифровки. Для ключей подписи - минимальная версия, которую разрешено использовать для проверки. |
min_encryption_version |
integer | нет | Если установлено, минимальная версия ключа, которую разрешено использовать для шифрования; или для ключей подписи - для подписи. Если установлено значение ноль, разрешается использовать только последнюю версию ключа. |
Ответы
200: OK
POST /{transit_mount_path}/keys/{name}/import
ID операции: transit-import-key
Импортирует сгенерированный извне ключ в новый транзитный ключ
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allow_plaintext_backup |
boolean | нет | Включает создание резервной копии именованного ключа в формате открытого текста. После установки этот параметр нельзя отключить. |
allow_rotation |
boolean | нет | True, если импортированный ключ может быть повернут в Vault; false в противном случае. |
auto_rotate_period |
integer (default: 0) | нет | Количество времени, которое ключ должен прожить перед автоматическим поворотом. Значение 0 (по умолчанию) отключает автоматический поворот ключа. |
ciphertext |
string | нет | Шифротекст ключей в base64-кодировке. Ключ AES должен быть зашифрован с помощью OAEP с помощью ключа-обертки, а затем конкатенирован с ключом импорта, обернутым ключом AES. |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа. При чтении ключа с включенной деривацией ключей, если тип ключа поддерживает открытые ключи, это вернет открытый ключ для данного контекста. |
derived |
boolean | нет | Включает режим выведения ключей. Это позволяет использовать уникальные ключи для операций шифрования на каждую транзакцию. |
exportable |
boolean | нет | Включает возможность экспорта ключей. Это позволяет экспортировать все действующие ключи в связке ключей. |
hash_function |
string (default: SHA256) | нет | Хэш-функция, используемая в качестве случайного оракула в OAEP для обертывания эфемерного ключа AES, созданного пользователем. Может быть одной из "SHA1", "SHA224", "SHA256" (по умолчанию), "SHA384" или "SHA512". |
public_key |
string | нет | Открытый ключ PEM в открытом тексте, который будет импортирован. Если установлено значение "ciphertext", это поле игнорируется. |
type |
string (default: aes256-gcm96) | нет | Тип импортируемого ключа. В настоящее время "aes128-gcm96" (симметричный), "aes256-gcm96" (симметричный), "ecdsa-p256" (асимметричный), "ecdsa-p384" (асимметричный), "ecdsa-p521" (асимметричный), "ed25519" (асимметричный), "rsa-2048" (асимметричный), "rsa-3072" (асимметричный), "rsa-4096" (асимметричный) поддерживаются. По умолчанию установлено значение "aes256-gcm96". |
Ответы
200: OK
POST /{transit_mount_path}/keys/{name}/import_version
ID операции: transit-import-key-version
Импортирует сгенерированный извне ключ в существующий импортированный ключ
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
ciphertext |
string | нет | Шифротекст ключей в base64-кодировке. Ключ AES должен быть зашифрован с помощью OAEP с помощью ключа-обертки, а затем конкатенирован с ключом импорта, обернутым ключом AES. |
hash_function |
string (default: SHA256) | нет | Хэш-функция, используемая в качестве случайного оракула в OAEP для обертывания эфемерного ключа AES, созданного пользователем. Может быть одной из "SHA1", "SHA224", "SHA256" (по умолчанию), "SHA384" или "SHA512". |
public_key |
string | нет | Открытый ключ с открытым текстом, который будет импортирован. Если установлено значение "ciphertext", это поле игнорируется. |
version |
integer | нет | Версия ключа для обновления; если оставить пустым, будет создана новая версия, если только не указан закрытый ключ, а для ключа 'Latest' закрытый ключ отсутствует. |
Ответы
200: OK
POST /{transit_mount_path}/keys/{name}/rotate
ID операции: transit-rotate-key
Поворот именованного ключа шифрования
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
managed_key_id |
string | нет | UUID управляемого ключа, который следует использовать для новой версии этого транзитного ключа. |
managed_key_name |
string | нет | Имя управляемого ключа, который следует использовать для новой версии этого транзитного ключа |
Ответы
200: OK
POST /{transit_mount_path}/keys/{name}/trim
ID операции: transit-trim-key
Обрезать версии ключей для именованного ключа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
min_available_version |
integer | нет | Минимальная доступная версия для брелока. Все версии до этой версии будут удалены безвозвратно. Это значение может быть равно меньшему из 'min_decryption_version' и 'min_encryption_version'. Не разрешается устанавливать это значение, если либо 'min_encryption_version', либо 'min_decryption_version' установлены в ноль. |
Ответы
200: OK
POST /{transit_mount_path}/random
ID операции: transit-generate-random
Генерировать случайные байты
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит). |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть "hex" или "base64". По умолчанию используется "base64". |
source |
string (default: platform) | нет | Из какой системы брать случайные данные: "платформа", "печать" или "все". |
urlbytes |
string | нет | Количество байт для генерации (параметр POST URL). |
Ответы
200: OK
POST /{transit_mount_path}/random/{source}
ID операции: transit-generate-random-with-source
Генерировать случайные байты
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
source |
string | path | да | Из какой системы брать случайные данные: "платформа", "печать" или "все". |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит). |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть "hex" или "base64". По умолчанию используется "base64". |
urlbytes |
string | нет | Количество байт для генерации (параметр POST URL). |
Ответы
200: OK
POST /{transit_mount_path}/random/{source}/{urlbytes}
ID операции: transit-generate-random-with-source-and-bytes
Генерировать случайные байты
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
source |
string | path | да | Из какой системы брать случайные данные: "платформа", "печать" или "все". |
urlbytes |
string | path | да | Количество байт для генерации (параметр POST URL). |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит). |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть "hex" или "base64". По умолчанию используется "base64". |
Ответы
200: OK
POST /{transit_mount_path}/random/{urlbytes}
ID операции: transit-generate-random-with-bytes
Генерировать случайные байты
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
urlbytes |
string | path | да | Количество байт для генерации (параметр POST URL). |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит). |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть "hex" или "base64". По умолчанию используется "base64". |
source |
string (default: platform) | нет | Из какой системы брать случайные данные: "платформа", "печать" или "все". |
Ответы
200: OK
POST /{transit_mount_path}/restore
ID операции: transit-restore-key
Восстановите именованный ключ
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
backup |
string | нет | Резервная копия ключевых данных для восстановления. Это должен быть вывод конечной точки 'backup/'. |
force |
boolean (default: False) | нет | Если установлено, а ключ с заданным именем существует, принудительно выполните операцию восстановления и отмените ключ. |
name |
string | нет | Если установлено, это будет имя восстановленного ключа. |
Ответы
200: OK
POST /{transit_mount_path}/restore/{name}
ID операции: transit-restore-and-rename-key
Восстановите именованный ключ
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Если установлено, это будет имя восстановленного ключа. |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
backup |
string | нет | Резервная копия ключевых данных для восстановления. Это должен быть вывод конечной точки 'backup/'. |
force |
boolean (default: False) | нет | Если установлено, а ключ с заданным именем существует, принудительно выполните операцию восстановления и отмените ключ. |
Ответы
200: OK
POST /{transit_mount_path}/rewrap/{name}
ID операции: transit-rewrap
Перевернуть шифртекст
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя ключа |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
batch_input |
array | нет | Указывает список элементов, которые будут повторно зашифрованы в одном пакете. При задании этого параметра, если параметры 'ciphertext', 'context' и 'nonce' также заданы, они будут проигнорированы. Любой пакетный вывод будет сохранять порядок ввода пакета. |
ciphertext |
string | нет | Значение шифртекста для повторного обертывания |
context |
string | нет | Закодированный в Base64 контекст для выведения ключа. Требуется для производных ключей. |
key_version |
integer | нет | Версия ключа, используемая для шифрования. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа. |
nonce |
string | нет | Nonce для использования конвергентного шифрования |
Ответы
200: OK
POST /{transit_mount_path}/sign/{name}
ID операции: transit-sign
Создание подписи для входных данных с использованием именованного ключа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Ключ к использованию |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Утрачено: вместо этого используйте "hash_algorithm". |
batch_input |
array | нет | Определяет список элементов для обработки. Если этот параметр задан, любые предоставленные параметры 'input' или 'context' будут проигнорированы. Ответы возвращаются в массиве 'batch_results' в элементе 'data' ответа. Любой пакетный вывод будет сохранять порядок пакетного ввода |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена; в настоящее время доступен только для ключей ed25519. |
hash_algorithm |
string (default: sha2-256) | нет | Используемый алгоритм хэширования (параметр тела POST). Допустимые значения: * sha1 * sha2-224 * sha2-256 * sha2-384 * sha2-512 * sha3-224 * sha3-256 * sha3-384 * sha3-512 * none По умолчанию установлено значение "sha2-256". Не подходит для всех типов ключей, включая ed25519. Использование none требует установки prehashed=true и signature_algorithm=pkcs1v15, что дает PKCSv1_5_NoOID вместо обычной подписи PKCSv1_5_DERnull. |
input |
string | нет | Входные данные в кодировке base64 |
key_version |
integer | нет | Версия ключа, которую следует использовать для подписи. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа. |
marshaling_algorithm |
string (default: asn1) | нет | Метод, с помощью которого будет сортироваться подпись. По умолчанию используется 'asn1', который применяется в openssl и X.509. Также может быть установлено значение 'jws', которое используется для подписей JWT; при этом кодировка подписи будет url-safe base64 вместо стандартной base64-кодировки. В настоящее время действует только для типов ключей ECDSA P-256". |
prehashed |
boolean | нет | Устанавливается в 'true', если входные данные уже хэшированы. Если тип ключа 'rsa-2048', 'rsa-3072' или 'rsa-4096', то алгоритм, используемый для хеширования входных данных, должен быть указан параметром 'algorithm'. |
salt_length |
string (default: auto) | нет | Длина соли, используемой для подписи. В настоящее время применяется только для схемы подписи RSA PSS. Варианты: 'auto' (по умолчанию используется в Golang, заставляя соль быть как можно больше при подписи), 'hash' (заставляет длину соли равняться длине хэша, используемого в подписи) или целое число между минимальной и максимальной допустимой длиной соли для данного размера ключа RSA. По умолчанию установлено значение 'auto'. |
signature_algorithm |
string | нет | Алгоритм подписи, который будет использоваться для подписания. В настоящее время применяется только для ключей типа RSA. Варианты: 'pss' или 'pkcs1v15'. По умолчанию используется 'pss' |
urlalgorithm |
string | нет | Используемый алгоритм хэширования (параметр POST URL) |
Ответы
200: OK
POST /{transit_mount_path}/sign/{name}/{urlalgorithm}
ID операции: transit-sign-with-algorithm
Создание подписи для входных данных с использованием именованного ключа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Ключ к использованию |
urlalgorithm |
string | path | да | Используемый алгоритм хэширования (параметр POST URL) |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Утрачено: вместо этого используйте "hash_algorithm". |
batch_input |
array | нет | Определяет список элементов для обработки. Если этот параметр задан, любые предоставленные параметры 'input' или 'context' будут проигнорированы. Ответы возвращаются в массиве 'batch_results' в элементе 'data' ответа. Любой пакетный вывод будет сохранять порядок пакетного ввода |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена; в настоящее время доступен только для ключей ed25519. |
hash_algorithm |
string (default: sha2-256) | нет | Используемый алгоритм хэширования (параметр тела POST). Допустимые значения: * sha1 * sha2-224 * sha2-256 * sha2-384 * sha2-512 * sha3-224 * sha3-256 * sha3-384 * sha3-512 * none По умолчанию установлено значение "sha2-256". Не подходит для всех типов ключей, включая ed25519. Использование none требует установки prehashed=true и signature_algorithm=pkcs1v15, что дает PKCSv1_5_NoOID вместо обычной подписи PKCSv1_5_DERnull. |
input |
string | нет | Входные данные в кодировке base64 |
key_version |
integer | нет | Версия ключа, которую следует использовать для подписи. Должно быть 0 (для последней версии) или значение, большее или равное min_encryption_version, настроенному для ключа. |
marshaling_algorithm |
string (default: asn1) | нет | Метод, с помощью которого будет сортироваться подпись. По умолчанию используется 'asn1', который применяется в openssl и X.509. Также может быть установлено значение 'jws', которое используется для подписей JWT; при этом кодировка подписи будет url-safe base64 вместо стандартной base64-кодировки. В настоящее время действует только для типов ключей ECDSA P-256". |
prehashed |
boolean | нет | Устанавливается в 'true', если входные данные уже хэшированы. Если тип ключа 'rsa-2048', 'rsa-3072' или 'rsa-4096', то алгоритм, используемый для хеширования входных данных, должен быть указан параметром 'algorithm'. |
salt_length |
string (default: auto) | нет | Длина соли, используемой для подписи. В настоящее время применяется только для схемы подписи RSA PSS. Варианты: 'auto' (по умолчанию используется в Golang, заставляя соль быть как можно больше при подписи), 'hash' (заставляет длину соли равняться длине хэша, используемого в подписи) или целое число между минимальной и максимальной допустимой длиной соли для данного размера ключа RSA. По умолчанию установлено значение 'auto'. |
signature_algorithm |
string | нет | Алгоритм подписи, который будет использоваться для подписания. В настоящее время применяется только для ключей типа RSA. Варианты: 'pss' или 'pkcs1v15'. По умолчанию используется 'pss' |
Ответы
200: OK
POST /{transit_mount_path}/verify/{name}
ID операции: transit-verify
Проверить подпись или HMAC для входных данных, созданных с использованием именованного ключа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Ключ к использованию |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Утрачено: вместо этого используйте "hash_algorithm". |
batch_input |
array | нет | Определяет список элементов для обработки. Когда этот параметр задан, все предоставленные параметры 'input', 'hmac' или 'signature' будут проигнорированы. Ответы возвращаются в массиве 'batch_results' в элементе 'data' ответа. Любой пакетный вывод будет сохранять порядок пакетного ввода |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена; в настоящее время доступен только для ключей ed25519. |
hash_algorithm |
string (default: sha2-256) | нет | Используемый алгоритм хэширования (параметр тела POST). Допустимые значения: * sha1 * sha2-224 * sha2-256 * sha2-384 * sha2-512 * sha3-224 * sha3-256 * sha3-384 * sha3-512 * none По умолчанию установлено значение "sha2-256". Действует не для всех типов ключей. См. примечание о none в пути подписи. |
hmac |
string | нет | HMAC, включая версию заголовка/ключа хранилища |
input |
string | нет | Входные данные в кодировке base64 для проверки |
marshaling_algorithm |
string (default: asn1) | нет | Метод, с помощью которого следует размаривать подпись при проверке. По умолчанию используется 'asn1', который используется openssl и X.509; также может быть установлено значение 'jws', которое используется для подписей JWT, в этом случае подпись также должна быть в url-safe base64-кодировке вместо стандартной base64-кодировки. В настоящее время действует только для типов ключей ECDSA P-256". |
prehashed |
boolean | нет | Устанавливается в 'true', если входные данные уже хэшированы. Если тип ключа 'rsa-2048', 'rsa-3072' или 'rsa-4096', то алгоритм, используемый для хеширования входных данных, должен быть указан параметром 'algorithm'. |
salt_length |
string (default: auto) | нет | Длина соли, используемой для подписи. В настоящее время применяется только для схемы подписи RSA PSS. Варианты: 'auto' (по умолчанию используется в Golang, заставляя соль быть как можно больше при подписи), 'hash' (заставляет длину соли равняться длине хэша, используемого в подписи) или целое число между минимальной и максимальной допустимой длиной соли для данного размера ключа RSA. По умолчанию установлено значение 'auto'. |
signature |
string | нет | Подпись, включая версию заголовка/ключа хранилища |
signature_algorithm |
string | нет | Алгоритм подписи, используемый для проверки подписи. В настоящее время применяется только для ключей типа RSA. Варианты: 'pss' или 'pkcs1v15'. По умолчанию используется 'pss' |
urlalgorithm |
string | нет | Используемый алгоритм хэширования (параметр POST URL) |
Ответы
200: OK
POST /{transit_mount_path}/verify/{name}/{urlalgorithm}
ID операции: transit-verify-with-algorithm
Проверить подпись или HMAC для входных данных, созданных с использованием именованного ключа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Ключ к использованию |
urlalgorithm |
string | path | да | Используемый алгоритм хэширования (параметр POST URL) |
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Утрачено: вместо этого используйте "hash_algorithm". |
batch_input |
array | нет | Определяет список элементов для обработки. Когда этот параметр задан, все предоставленные параметры 'input', 'hmac' или 'signature' будут проигнорированы. Ответы возвращаются в массиве 'batch_results' в элементе 'data' ответа. Любой пакетный вывод будет сохранять порядок пакетного ввода |
context |
string | нет | Закодированный в Base64 контекст для деривации ключа. Требуется, если деривация ключей включена; в настоящее время доступен только для ключей ed25519. |
hash_algorithm |
string (default: sha2-256) | нет | Используемый алгоритм хэширования (параметр тела POST). Допустимые значения: * sha1 * sha2-224 * sha2-256 * sha2-384 * sha2-512 * sha3-224 * sha3-256 * sha3-384 * sha3-512 * none По умолчанию установлено значение "sha2-256". Действует не для всех типов ключей. См. примечание о none в пути подписи. |
hmac |
string | нет | HMAC, включая версию заголовка/ключа хранилища |
input |
string | нет | Входные данные в кодировке base64 для проверки |
marshaling_algorithm |
string (default: asn1) | нет | Метод, с помощью которого следует размаривать подпись при проверке. По умолчанию используется 'asn1', который используется openssl и X.509; также может быть установлено значение 'jws', которое используется для подписей JWT, в этом случае подпись также должна быть в url-safe base64-кодировке вместо стандартной base64-кодировки. В настоящее время действует только для типов ключей ECDSA P-256". |
prehashed |
boolean | нет | Устанавливается в 'true', если входные данные уже хэшированы. Если тип ключа 'rsa-2048', 'rsa-3072' или 'rsa-4096', то алгоритм, используемый для хеширования входных данных, должен быть указан параметром 'algorithm'. |
salt_length |
string (default: auto) | нет | Длина соли, используемой для подписи. В настоящее время применяется только для схемы подписи RSA PSS. Варианты: 'auto' (по умолчанию используется в Golang, заставляя соль быть как можно больше при подписи), 'hash' (заставляет длину соли равняться длине хэша, используемого в подписи) или целое число между минимальной и максимальной допустимой длиной соли для данного размера ключа RSA. По умолчанию установлено значение 'auto'. |
signature |
string | нет | Подпись, включая версию заголовка/ключа хранилища |
signature_algorithm |
string | нет | Алгоритм подписи, используемый для проверки подписи. В настоящее время применяется только для ключей типа RSA. Варианты: 'pss' или 'pkcs1v15'. По умолчанию используется 'pss' |
Ответы
200: OK
GET /{transit_mount_path}/wrapping_key
ID операции: transit-read-wrapping-key
Возвращает открытый ключ, используемый для обертывания импортированных ключей
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
transit_mount_path |
string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
system
GET /sys/audit
ID операции: auditing-list-enabled-devices
Отображает включенные устройства аудита.
Требует sudo: да
Ответы
200: OK
POST /sys/audit-hash/{path}
ID операции: auditing-calculate-hash
Хеш заданной строки через заданный бэкэнд аудита
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Имя бэкенда. Не может быть разделено. Пример: "mysql". |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
input |
string | нет |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
hash |
string | нет |
POST /sys/audit/{path}
ID операции: auditing-enable-device
Включите новое устройство аудита по указанному пути.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Имя бэкенда. Не может быть разделено. Пример: "mysql". |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
description |
string | нет | Удобное описание бэкенда аудита. |
local |
boolean (default: False) | нет | Пометьте монтирование как локальное монтирование, которое не реплицируется и не подвержено влиянию репликации. |
options |
object | нет | Параметры конфигурации для бэкенда аудита. |
type |
string | нет | Тип бэкенда. Пример: "mysql". |
Ответы
204: OK
DELETE /sys/audit/{path}
ID операции: auditing-disable-device
Отключите устройство аудита по указанному пути.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Имя бэкенда. Не может быть разделено. Пример: "mysql". |
Ответы
204: OK
GET /sys/auth
ID операции: auth-list-enabled-methods
Список включенных на данный момент бэкендов учетных данных.
Ответы
200: OK
GET /sys/auth/{path}
ID операции: auth-read-configuration
Чтение конфигурации механизма аутентификации по указанному пути.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Не может быть разграничен. Пример: "user" |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor |
string | нет | |
config |
object | нет | |
deprecation_status |
string | нет | |
description |
string | нет | |
external_entropy_access |
boolean | нет | |
local |
boolean | нет | |
options |
object | нет | |
plugin_version |
string | нет | |
running_plugin_version |
string | нет | |
running_sha256 |
string | нет | |
seal_wrap |
boolean | нет | |
type |
string | нет | |
uuid |
string | нет |
POST /sys/auth/{path}
ID операции: auth-enable-method
Включает новый метод авторизации.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Не может быть разграничен. Пример: "user" |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
config |
object | нет | Конфигурация для этого монтирования, например, имя_плагина. |
description |
string | нет | Удобное описание для данного бэкенда учетных данных. |
external_entropy_access |
boolean (default: False) | нет | Предоставлять ли маунту доступ к внешней энтропии Stronghold. |
local |
boolean (default: False) | нет | Пометьте монтирование как локальное монтирование, которое не реплицируется и не подвержено влиянию репликации. |
options |
object | нет | Параметры для передачи в бэкенд. Это должен быть json-объект со строковыми ключами и значениями. |
plugin_name |
string | нет | Имя используемого плагина аутентификации, основанное на имени в каталоге плагинов. |
plugin_version |
string | нет | Семантическая версия плагина для использования. |
seal_wrap |
boolean (default: False) | нет | Включать ли обертку уплотнения для крепления. |
type |
string | нет | Тип бэкенда. Пример: "userpass" |
Ответы
204: OK
DELETE /sys/auth/{path}
ID операции: auth-disable-method
Отключение метода аутентификации по заданному пути аутентификации
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Не может быть разграничен. Пример: "user" |
Ответы
204: OK
GET /sys/auth/{path}/tune
ID операции: auth-read-tuning-information
Считывает конфигурацию заданного пути аутентификации.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Настраивает параметры конфигурации для пути аутентификации. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_managed_keys |
array | нет | |
allowed_response_headers |
array | нет | |
audit_non_hmac_request_keys |
array | нет | |
audit_non_hmac_response_keys |
array | нет | |
default_lease_ttl |
integer | нет | |
description |
string | нет | |
external_entropy_access |
boolean | нет | |
force_no_cache |
boolean | нет | |
listing_visibility |
string | нет | |
max_lease_ttl |
integer | нет | |
options |
object | нет | |
passthrough_request_headers |
array | нет | |
plugin_version |
string | нет | |
token_type |
string | нет | |
user_lockout_counter_reset_duration |
integer | нет | |
user_lockout_disable |
boolean | нет | |
user_lockout_duration |
integer | нет | |
user_lockout_threshold |
integer | нет |
POST /sys/auth/{path}/tune
ID операции: auth-tune-configuration-parameters
Настройка параметров конфигурации для данного пути аутентификации.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Настраивает параметры конфигурации для пути аутентификации. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_response_headers |
array | нет | Список заголовков, которые необходимо внести в белый список и разрешить плагину устанавливать их в ответах. |
audit_non_hmac_request_keys |
array | нет | Список ключей в объекте данных запроса, которые не будут обрабатываться HMAC устройствами аудита. |
audit_non_hmac_response_keys |
array | нет | Список ключей в объекте данных ответа, которые не будут обрабатываться HMAC устройствами аудита. |
default_lease_ttl |
string | нет | TTL аренды по умолчанию для этого монтирования. |
description |
string | нет | Удобное описание для данного бэкенда учетных данных. |
listing_visibility |
string | нет | Определяет видимость монтирования в конечной точке листинга, специфичной для пользовательского интерфейса. Принимаются значения 'unauth' и 'hidden', при этом пустое значение по умолчанию ('') ведет себя как 'hidden'. |
max_lease_ttl |
string | нет | Максимальное значение TTL аренды для данного крепления. |
options |
object | нет | Параметры для передачи в бэкенд. Это должен быть json-объект со строковыми ключами и значениями. |
passthrough_request_headers |
array | нет | Список заголовков, которые необходимо включить в белый список и передать из запроса в плагин. |
plugin_version |
string | нет | Семантическая версия плагина для использования. |
token_type |
string | нет | Тип выпускаемого токена (сервисный или пакетный). |
user_lockout_config |
object | нет | Конфигурация блокировки пользователя для передачи в бэкэнд. Это должен быть json-объект со строковыми ключами и значениями. |
Ответы
204: OK
POST /sys/capabilities
ID операции: query-token-capabilities
Получает возможности заданного токена по заданному пути.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
path |
array | нет | ⚠️ Устарело. Вместо этого используйте 'paths'. |
paths |
array | нет | Пути, по которым запрашиваются возможности. |
token |
string | нет | Токен, для которого запрашиваются возможности. |
Ответы
200: OK
POST /sys/capabilities-accessor
ID операции: query-token-accessor-capabilities
Получает возможности токена, связанного с данным токеном, по указанному пути.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor |
string | нет | Аксессор токена, для которого запрашиваются возможности. |
path |
array | нет | ⚠️ Устарело. Вместо этого используйте 'paths'. |
paths |
array | нет | Пути, по которым запрашиваются возможности. |
Ответы
200: OK
POST /sys/capabilities-self
ID операции: query-token-self-capabilities
Получает возможности заданного токена по заданному пути.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
path |
array | нет | ⚠️ Устарело. Вместо этого используйте 'paths'. |
paths |
array | нет | Пути, по которым запрашиваются возможности. |
token |
string | нет | Токен, для которого запрашиваются возможности. |
Ответы
200: OK
GET /sys/config/auditing/request-headers
ID операции: auditing-list-request-headers
Отображает заголовки запросов, которые настроены на аудит.
Требует sudo: да
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
headers |
object | нет |
GET /sys/config/auditing/request-headers/{header}
ID операции: auditing-read-request-header-information
Отображает информацию для данного заголовка запроса.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
header |
string | path | да |
Ответы
200: OK
POST /sys/config/auditing/request-headers/{header}
ID операции: auditing-enable-request-header
Включите аудит заголовка.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
header |
string | path | да |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
hmac |
boolean | нет |
Ответы
204: OK
DELETE /sys/config/auditing/request-headers/{header}
ID операции: auditing-disable-request-header
Отключает аудит данного заголовка запроса.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
header |
string | path | да |
Ответы
204: OK
GET /sys/config/control-group
ID операции: enterprise-stub-read-config-control-group
Ответы
200: OK
POST /sys/config/control-group
ID операции: enterprise-stub-write-config-control-group
Ответы
200: OK
DELETE /sys/config/control-group
ID операции: enterprise-stub-delete-config-control-group
Ответы
204: пустое тело
GET /sys/config/cors
ID операции: cors-read-configuration
Возвращает текущие настройки CORS.
Требует sudo: да
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_headers |
array | нет | |
allowed_origins |
array | нет | |
enabled |
boolean | нет |
POST /sys/config/cors
ID операции: cors-configure
Настроить параметры CORS.
Требует sudo: да
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_headers |
array | нет | Строка или массив строк, разделенных запятыми, указывающие на заголовки, которые разрешены для кросс-оригинальных запросов. |
allowed_origins |
array | нет | Строка или массив строк, разделенных запятыми, указывающие на источники, которые могут выполнять кросс-оригинальные запросы. |
enable |
boolean | нет | Включает или отключает заголовки CORS в запросах. |
Ответы
204: OK
DELETE /sys/config/cors
ID операции: cors-delete-configuration
Удаляет любые настройки CORS.
Требует sudo: да
Ответы
204: OK
GET /sys/config/group-policy-application
ID операции: enterprise-stub-read-config-group-policy-application
Ответы
200: OK
POST /sys/config/group-policy-application
ID операции: enterprise-stub-write-config-group-policy-application
Ответы
200: OK
POST /sys/config/reload/{subsystem}
ID операции: reload-subsystem
Перезагрузить заданную подсистему
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
subsystem |
string | path | да |
Ответы
204: OK
GET /sys/config/state/sanitized
ID операции: read-sanitized-configuration-state
Возвращает санированную версию конфигурации сервера Stronghold.
Ответы
200: OK
GET /sys/config/ui/headers
ID операции: ui-headers-list
Возврат списка настроенных заголовков UI.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200:
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | Списки настроенных заголовков UI. Пропущено, если список пуст |
GET /sys/config/ui/headers/{header}
ID операции: ui-headers-read-configuration
Возвращает конфигурацию данного заголовка UI
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
header |
string | path | да | Имя заголовка. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
value |
string | нет | возвращает первое значение заголовка, когда параметр запроса multivalue равен false |
values |
array | нет | возвращает все значения заголовков, когда параметр запроса multivalue равен true |
POST /sys/config/ui/headers/{header}
ID операции: ui-headers-configure
Настроить значения, чтобы вернуть для заголовка UI.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
header |
string | path | да | Имя заголовка. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
multivalue |
boolean | нет | Возвращает несколько значений, если true |
values |
array | нет | Значения для установки заголовка. |
Ответы
200: OK
DELETE /sys/config/ui/headers/{header}
ID операции: ui-headers-delete-configuration
Удаляет заголовок UI.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
header |
string | path | да | Имя заголовка. |
Ответы
204: OK
POST /sys/control-group/authorize
ID операции: enterprise-stub-write-control-group-authorize
Ответы
200: OK
POST /sys/control-group/request
ID операции: enterprise-stub-write-control-group-request
Ответы
200: OK
POST /sys/decode-token
ID операции: decode
Декодирует закодированный токен с помощью otp.
Доступен без аутентификации: да
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
encoded_token |
string | нет | Указывает закодированный токен (результат работы generate-root). |
otp |
string | нет | Указывает код otp для декодирования. |
Ответы
200: OK
GET /sys/experiments
ID операции: list-experimental-features
Возвращает доступные и включенные эксперименты
Ответы
200: OK
GET /sys/generate-root
ID операции: root-token-generation-read-progress2
Считывание информации о конфигурации и ходе выполнения текущей попытки генерации корня.
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
complete |
boolean | нет | |
encoded_root_token |
string | нет | |
encoded_token |
string | нет | |
nonce |
string | нет | |
otp |
string | нет | |
otp_length |
integer | нет | |
pgp_fingerprint |
string | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
boolean | нет |
POST /sys/generate-root
ID операции: root-token-generation-initialize-2
Инициализирует новую попытку генерации корня.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pgp_key |
string | нет | Указывает открытый ключ PGP в кодировке base64. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
complete |
boolean | нет | |
encoded_root_token |
string | нет | |
encoded_token |
string | нет | |
nonce |
string | нет | |
otp |
string | нет | |
otp_length |
integer | нет | |
pgp_fingerprint |
string | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
boolean | нет |
DELETE /sys/generate-root
ID операции: root-token-generation-cancel-2
Отменяет все текущие попытки генерации корня.
Ответы
204: OK
GET /sys/generate-root/attempt
ID операции: root-token-generation-read-progress
Считывание информации о конфигурации и ходе выполнения текущей попытки генерации корня.
Доступен без аутентификации: да
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
complete |
boolean | нет | |
encoded_root_token |
string | нет | |
encoded_token |
string | нет | |
nonce |
string | нет | |
otp |
string | нет | |
otp_length |
integer | нет | |
pgp_fingerprint |
string | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
boolean | нет |
POST /sys/generate-root/attempt
ID операции: root-token-generation-initialize
Инициализирует новую попытку генерации корня.
Доступен без аутентификации: да
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pgp_key |
string | нет | Указывает открытый ключ PGP в кодировке base64. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
complete |
boolean | нет | |
encoded_root_token |
string | нет | |
encoded_token |
string | нет | |
nonce |
string | нет | |
otp |
string | нет | |
otp_length |
integer | нет | |
pgp_fingerprint |
string | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
boolean | нет |
DELETE /sys/generate-root/attempt
ID операции: root-token-generation-cancel
Отменяет все текущие попытки генерации корня.
Доступен без аутентификации: да
Ответы
204: OK
POST /sys/generate-root/update
ID операции: root-token-generation-update
Введите единственную долю ключа unseal, чтобы продолжить попытку генерации корня.
Доступен без аутентификации: да
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key |
string | нет | Указывает единственный ресурс ключей для разблокировки. |
nonce |
string | нет | Указывает nonce попытки. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
complete |
boolean | нет | |
encoded_root_token |
string | нет | |
encoded_token |
string | нет | |
nonce |
string | нет | |
otp |
string | нет | |
otp_length |
integer | нет | |
pgp_fingerprint |
string | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
boolean | нет |
GET /sys/ha-status
ID операции: ha-status
Проверить статус HA кластера Stronghold
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
nodes |
array | нет |
GET /sys/health
ID операции: read-health-status
Возвращает статус работоспособности Stronghold.
Доступен без аутентификации: да
Ответы
200: инициализирован, разблокирован и активен
429: без печати и в режиме ожидания
472: режим восстановления данных репликация вторичная и активная
501: не инициализирован
503: герметичный
GET /sys/host-info
ID операции: collect-host-information
Информация о хост-экземпляре, на котором работает этот сервер Stronghold.
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cpu |
array | нет | |
cpu_times |
array | нет | |
disk |
array | нет | |
host |
object | нет | |
memory |
object | нет | |
timestamp |
string | нет |
GET /sys/in-flight-req
ID операции: collect-in-flight-request-information
отчеты о активных запросах
Ответы
200: OK
GET /sys/init
ID операции: read-initialization-status
Возвращает статус инициализации Stronghold.
Доступен без аутентификации: да
Ответы
200: OK
POST /sys/init
ID операции: initialize
Инициализировать новый Stronghold.
Доступен без аутентификации: да
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
pgp_keys |
array | нет | Указывает массив открытых ключей PGP, используемых для шифрования выходных ключей разблокировки. Порядок следования сохраняется. Ключи должны быть закодированы в base64 из их исходного двоичного представления. Размер этого массива должен быть равен secret_shares. |
recovery_pgp_keys |
array | нет | Указывает массив открытых ключей PGP, используемых для шифрования выходных ключей восстановления. Порядок следования сохраняется. Ключи должны быть закодированы в base64 из их исходного двоичного представления. Размер этого массива должен быть равен recovery_shares. |
recovery_shares |
integer | нет | Укажите количество долей, на которые нужно разделить ключ восстановления. |
recovery_threshold |
integer | нет | Указывает количество долей, необходимых для восстановления ключа восстановления. Оно должно быть меньше или равно recovery_shares. |
root_token_pgp_key |
string | нет | Указывает открытый ключ PGP, используемый для шифрования начального корневого токена. Ключ должен быть закодирован в base64 из его исходного двоичного представления. |
secret_shares |
integer | нет | Указывает количество долей, на которые нужно разделить ключ разблокировки. |
secret_threshold |
integer | нет | Указывает количество долей, необходимых для восстановления ключа unseal. Это значение должно быть меньше или равно secret_shares. При использовании Stronghold HSM с автоматической разблокировкой это значение должно быть равно secret_shares. |
stored_shares |
integer | нет | Указывает количество долей, которые должны быть зашифрованы HSM и сохранены для автоматического раскрытия. В настоящее время должно быть таким же, как secret_shares. |
Ответы
200: OK
GET /sys/internal/counters/activity
ID операции: internal-client-activity-report-counts
Сообщает метрики количества клиентов для данного пространства имен и всех дочерних пространств имен.
Ответы
200: OK
GET /sys/internal/counters/activity/export
ID операции: internal-client-activity-export
Сообщает метрики количества клиентов для данного пространства имен и всех дочерних пространств имен.
Ответы
200: OK
GET /sys/internal/counters/activity/monthly
ID операции: internal-client-activity-report-counts-this-month
Сообщает о количестве клиентов за этот месяц для данного пространства имен и всех дочерних пространств имен.
Ответы
200: OK
GET /sys/internal/counters/config
ID операции: internal-client-activity-read-configuration
Считывание конфигурации отслеживания количества клиентов.
Ответы
200: OK
POST /sys/internal/counters/config
ID операции: internal-client-activity-configure
Включите или отключите сбор данных о количестве клиентов, установите период хранения или задайте период отчетности по умолчанию.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
default_report_months |
integer (default: 12) | нет | Количество месяцев для отчета, если не указана дата начала. |
enabled |
string (default: default) | нет | Включить или отключить сбор данных о количестве клиентов: включить, отключить или по умолчанию. |
retention_months |
integer (default: 24) | нет | Количество месяцев, в течение которых будут сохраняться данные о клиенте. Если установить значение 0, все существующие данные будут удалены. |
Ответы
200: OK
GET /sys/internal/counters/entities
ID операции: internal-count-entities
Обратная совместимость для этого API не гарантирована
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
counters |
object | нет |
GET /sys/internal/counters/requests
ID операции: internal-count-requests
Обратная совместимость для этого API не гарантирована
Ответы
200: OK
GET /sys/internal/counters/tokens
ID операции: internal-count-tokens
Обратная совместимость для этого API не гарантирована
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
counters |
object | нет |
GET /sys/internal/inspect/router/{tag}
ID операции: internal-inspect-router
Раскрыть таблицы маршрутных записей и записей монтирования, имеющиеся в маршрутизаторе
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
tag |
string | path | да | Имя наблюдаемого поддерева |
Ответы
200: OK
GET /sys/internal/specs/openapi
ID операции: internal-generate-open-api-document
Создайте документ OpenAPI 3 для всех смонтированных путей.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
generic_mount_paths |
boolean | query | нет | Используйте общие пути монтирования |
Ответы
200: OK
POST /sys/internal/specs/openapi
ID операции: internal-generate-open-api-document-with-parameters
Создайте документ OpenAPI 3 для всех смонтированных путей.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
generic_mount_paths |
boolean | query | нет | Используйте общие пути монтирования |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
context |
string | нет | Контекстная строка, добавляемая к каждой операцииId |
Ответы
200: OK
GET /sys/internal/ui/feature-flags
ID операции: internal-ui-list-enabled-feature-flags
Список включенных флагов функций.
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
feature_flags |
array | нет |
GET /sys/internal/ui/mounts
ID операции: internal-ui-list-enabled-visible-mounts
Отображает все включенные и видимые монтирования auth и secrets.
Доступен без аутентификации: да
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
auth |
object | нет | точки монтирования аутентификации |
secret |
object | нет | точки монтирования секретов |
GET /sys/internal/ui/mounts/{path}
ID операции: internal-ui-read-mount-information
Возвращает информацию о заданном креплении.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь к монтировке. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor |
string | нет | |
config |
object | нет | |
description |
string | нет | |
external_entropy_access |
boolean | нет | |
local |
boolean | нет | |
options |
object | нет | |
path |
string | нет | |
plugin_version |
string | нет | |
running_plugin_version |
string | нет | |
running_sha256 |
string | нет | |
seal_wrap |
boolean | нет | |
type |
string | нет | |
uuid |
string | нет |
GET /sys/internal/ui/namespaces
ID операции: internal-ui-list-namespaces
Обратная совместимость для этого API не гарантирована
Доступен без аутентификации: да
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | поле возвращается, только если есть одно или несколько пространств имен |
GET /sys/internal/ui/resultant-acl
ID операции: internal-ui-read-resultant-acl
Обратная совместимость для этого API не гарантирована
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
exact_paths |
object | нет | |
glob_paths |
object | нет | |
root |
boolean | нет |
204: возвращается пустой ответ, если нет токена клиента
GET /sys/key-status
ID операции: encryption-key-status
Предоставляет информацию о ключе шифрования бэкэнда.
Ответы
200: OK
GET /sys/leader
ID операции: leader-status
Возвращает статус высокой доступности и текущий ведущий экземпляр Stronghold.
Доступен без аутентификации: да
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
active_time |
string | нет | |
ha_enabled |
boolean | нет | |
is_self |
boolean | нет | |
last_wal |
integer | нет | |
leader_address |
string | нет | |
leader_cluster_address |
string | нет | |
performance_standby |
boolean | нет | |
performance_standby_last_remote_wal |
integer | нет | |
raft_applied_index |
integer | нет | |
raft_committed_index |
integer | нет |
GET /sys/leases
ID операции: leases-list
Список аренды, связанной с данным кластером Stronghold
Требует sudo: да
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
counts |
integer | нет | Количество совпадающих аренд на точку монтажа |
lease_count |
integer | нет | Количество совпадающих аренд |
GET /sys/leases/count
ID операции: leases-count
Количество аренды, связанной с данным кластером Stronghold
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
counts |
integer | нет | Количество совпадающих аренд на точку монтажа |
lease_count |
integer | нет | Количество совпадающих аренд |
POST /sys/leases/lookup
ID операции: leases-read-lease
Просмотр или список метаданных аренды.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
expire_time |
string | нет | Необязательное время истечения срока аренды |
id |
string | нет | Идентификатор аренды |
issue_time |
string | нет | Временная метка для времени выдачи аренды |
last_renewal |
string | нет | Необязательная временная метка последнего раза, когда аренда была обновлена |
renewable |
boolean | нет | Истина, если аренда может быть продлена |
ttl |
integer | нет | Время жизни, установленное для аренды, возвращает 0, если не установлено |
GET /sys/leases/lookup/
ID операции: leases-look-up
Просмотр или список метаданных аренды.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | Список идентификаторов аренды |
GET /sys/leases/lookup/{prefix}
ID операции: leases-look-up-with-prefix
Просмотр или список метаданных аренды.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
prefix |
string | path | да | Путь к списку аренд. Пример: "aws/creds/deploy". |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | Список идентификаторов аренды |
POST /sys/leases/renew
ID операции: leases-renew-lease
Продление договора аренды, запрос на продление договора аренды.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
increment |
integer | нет | Желаемый прирост в секундах к сроку аренды |
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды. |
url_lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды. |
Ответы
204: OK
POST /sys/leases/renew/{url_lease_id}
ID операции: leases-renew-lease-with-id
Продление договора аренды, запрос на продление договора аренды.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
url_lease_id |
string | path | да | Идентификатор аренды для продления. Он включается в договор аренды. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
increment |
integer | нет | Желаемый прирост в секундах к сроку аренды |
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды. |
Ответы
204: OK
POST /sys/leases/revoke
ID операции: leases-revoke-lease
Немедленно аннулирует договор аренды.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды. |
sync |
boolean (default: True) | нет | Выполнять или не выполнять отзыв синхронно |
url_lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды. |
Ответы
204: OK
POST /sys/leases/revoke-force/{prefix}
ID операции: leases-force-revoke-lease-with-prefix
Немедленно отзывает все секреты или токены, созданные под данным префиксом.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
prefix |
string | path | да | Путь для отзыва ключей. Пример: "prod/aws/ops". |
Ответы
204: OK
POST /sys/leases/revoke-prefix/{prefix}
ID операции: leases-revoke-lease-with-prefix
Немедленно отменяет все секреты (через префикс идентификатора аренды) или токены (через свойство пути токенов), созданные под данным префиксом.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
prefix |
string | path | да | Путь для отзыва ключей. Пример: "prod/aws/ops". |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
sync |
boolean (default: True) | нет | Выполнять или не выполнять отзыв синхронно |
Ответы
204: OK
POST /sys/leases/revoke/{url_lease_id}
ID операции: leases-revoke-lease-with-id
Немедленно аннулирует договор аренды.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
url_lease_id |
string | path | да | Идентификатор аренды для продления. Он включается в договор аренды. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды. |
sync |
boolean (default: True) | нет | Выполнять или не выполнять отзыв синхронно |
Ответы
204: OK
POST /sys/leases/tidy
ID операции: leases-tidy
Этот метод выполняет задачи по очистке, которые могут быть запущены, если возникли определенные условия ошибки.
Ответы
204: OK
GET /sys/locked-users
ID операции: locked-users-list
Сообщает метрики количества заблокированных пользователей для данного пространства имен и всех дочерних пространств имен.
Ответы
200: OK
POST /sys/locked-users/{mount_accessor}/unlock/{alias_identifier}
ID операции: locked-users-unlock
Разблокирует пользователя с заданными mount_accessor и alias_identifier
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
alias_identifier |
string | path | да | Это имя псевдонима (пользователя). Например, если псевдоним принадлежит бэкенду userpass, имя должно быть действительным именем пользователя в методе userpass auth. Если псевдоним принадлежит методу аутентификации approle, имя должно быть действительным RoleID |
mount_accessor |
string | path | да | MountAccessor - идентификатор записи монтирования, к которой принадлежит пользователь. |
Ответы
200: OK
GET /sys/loggers
ID операции: loggers-read-verbosity-level
Считайте уровень журнала для всех существующих регистраторов.
Ответы
200: OK
POST /sys/loggers
ID операции: loggers-update-verbosity-level
Измените уровень журнала для всех существующих регистраторов.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
level |
string | нет | Уровень подробности журнала. Поддерживаемые значения (в порядке возрастания подробности): "trace", "debug", "info", "warn" и "error". |
Ответы
204: OK
DELETE /sys/loggers
ID операции: loggers-revert-verbosity-level
Верните все регистраторы к использованию уровня журнала, указанного в конфигурации.
Ответы
204: OK
GET /sys/loggers/{name}
ID операции: loggers-read-verbosity-level-for
Считывание уровня журнала для одного регистратора.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя регистратора, который необходимо изменить. |
Ответы
200: OK
POST /sys/loggers/{name}
ID операции: loggers-update-verbosity-level-for
Изменение уровня журнала для одного регистратора.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя регистратора, который необходимо изменить. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
level |
string | нет | Уровень подробности журнала. Поддерживаемые значения (в порядке возрастания подробности): "trace", "debug", "info", "warn" и "error". |
Ответы
204: OK
DELETE /sys/loggers/{name}
ID операции: loggers-revert-verbosity-level-for
Переключите один регистратор на использование уровня журнала, указанного в конфигурации.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя регистратора, который необходимо изменить. |
Ответы
204: OK
GET /sys/managed-keys/{type}
ID операции: enterprise-stub-list-managed-keys-type
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
type |
string | path | да | |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /sys/managed-keys/{type}/{name}
ID операции: enterprise-stub-read-managed-keys-type-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | |
type |
string | path | да |
Ответы
200: OK
POST /sys/managed-keys/{type}/{name}
ID операции: enterprise-stub-write-managed-keys-type-name
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | |
type |
string | path | да |
Ответы
200: OK
DELETE /sys/managed-keys/{type}/{name}
ID операции: enterprise-stub-delete-managed-keys-type-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | |
type |
string | path | да |
Ответы
204: пустое тело
POST /sys/managed-keys/{type}/{name}/test/sign
ID операции: enterprise-stub-write-managed-keys-type-name-test-sign
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | |
type |
string | path | да |
Ответы
200: OK
GET /sys/metrics
ID операции: metrics
Экспортируйте агрегированные метрики для целей телеметрии.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
format |
string | query | нет | Формат для экспорта метрик. В настоящее время принимается только "prometheus". |
Ответы
200: OK
POST /sys/mfa/validate
ID операции: mfa-validate
Проверяет логин для данных методов MFA. При успешной проверке возвращает ответ аутентификации, содержащий токен клиента
Доступен без аутентификации: да
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
mfa_payload |
object | да | Карта из идентификатора метода MFA в фрагмент пасскодов или пустой фрагмент, если метод не использует пасскоды |
mfa_request_id |
string | да | Идентификатор для данного запроса MFA |
Ответы
200: OK
GET /sys/monitor
ID операции: monitor
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
log_format |
string | query | нет | Формат вывода журналов. Поддерживаются следующие значения: "standard" и "json". По умолчанию используется "стандартный". |
log_level |
string | query | нет | Уровень журнала для просмотра системных журналов. В настоящее время поддерживаются следующие значения: "trace", "debug", "info", "warn", "error". |
Ответы
200: OK
GET /sys/mounts
ID операции: mounts-list-secrets-engines
Отображает смонтированные в данный момент бэкенды.
Ответы
200: OK
GET /sys/mounts/{path}
ID операции: mounts-read-configuration
Считывает конфигурацию секретного двигателя по заданному пути.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: "aws/east". |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor |
string | нет | |
config |
object | нет | Конфигурация для этого монтирования, например default_lease_ttl и max_lease_ttl. |
deprecation_status |
string | нет | |
description |
string | нет | Удобное описание для этого крепления. |
external_entropy_access |
boolean | нет | |
local |
boolean (default: False) | нет | Пометьте монтирование как локальное монтирование, которое не реплицируется и не подвержено влиянию репликации. |
options |
object | нет | Параметры для передачи в бэкенд. Это должен быть json-объект со строковыми ключами и значениями. |
plugin_version |
string | нет | Семантическая версия плагина для использования. |
running_plugin_version |
string | нет | |
running_sha256 |
string | нет | |
seal_wrap |
boolean (default: False) | нет | Включать ли обертку уплотнения для крепления. |
type |
string | нет | Тип бэкенда. Пример: "passthrough". |
uuid |
string | нет |
POST /sys/mounts/{path}
ID операции: mounts-enable-secrets-engine
Включает новый движок секретов по указанному пути.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: "aws/east". |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
config |
object | нет | Конфигурация для этого монтирования, например default_lease_ttl и max_lease_ttl. |
description |
string | нет | Удобное описание для этого крепления. |
external_entropy_access |
boolean (default: False) | нет | Предоставлять ли маунту доступ к внешней энтропии Stronghold. |
local |
boolean (default: False) | нет | Пометьте монтирование как локальное монтирование, которое не реплицируется и не подвержено влиянию репликации. |
options |
object | нет | Параметры для передачи в бэкенд. Это должен быть json-объект со строковыми ключами и значениями. |
plugin_name |
string | нет | Имя монтируемого плагина, основанное на имени, зарегистрированном в каталоге плагинов. |
plugin_version |
string | нет | Семантическая версия плагина для использования. |
seal_wrap |
boolean (default: False) | нет | Включать ли обертку уплотнения для крепления. |
type |
string | нет | Тип бэкенда. Пример: "passthrough". |
Ответы
204: OK
DELETE /sys/mounts/{path}
ID операции: mounts-disable-secrets-engine
Отключить точку монтирования, указанную по заданному пути.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: "aws/east". |
Ответы
200: OK
GET /sys/mounts/{path}/tune
ID операции: mounts-read-tuning-information
Настраивает параметры конфигурации бэкэнда для этого монтирования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: "aws/east". |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_managed_keys |
array | нет | |
allowed_response_headers |
array | нет | Список заголовков, которые необходимо внести в белый список и разрешить плагину устанавливать их в ответах. |
audit_non_hmac_request_keys |
array | нет | |
audit_non_hmac_response_keys |
array | нет | |
default_lease_ttl |
integer | нет | TTL аренды по умолчанию для этого монтирования. |
description |
string | нет | Удобное описание для данного бэкенда учетных данных. |
external_entropy_access |
boolean | нет | |
force_no_cache |
boolean | нет | |
listing_visibility |
string | нет | |
max_lease_ttl |
integer | нет | Максимальное значение TTL аренды для данного крепления. |
options |
object | нет | Параметры для передачи в бэкенд. Это должен быть json-объект со строковыми ключами и значениями. |
passthrough_request_headers |
array | нет | |
plugin_version |
string | нет | Семантическая версия плагина для использования. |
token_type |
string | нет | Тип выпускаемого токена (сервисный или пакетный). |
user_lockout_counter_reset_duration |
integer | нет | |
user_lockout_disable |
boolean | нет | |
user_lockout_duration |
integer | нет | |
user_lockout_threshold |
integer | нет |
POST /sys/mounts/{path}/tune
ID операции: mounts-tune-configuration-parameters
Настраивает параметры конфигурации бэкэнда для этого монтирования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: "aws/east". |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_managed_keys |
array | нет | |
allowed_response_headers |
array | нет | Список заголовков, которые необходимо внести в белый список и разрешить плагину устанавливать их в ответах. |
audit_non_hmac_request_keys |
array | нет | Список ключей в объекте данных запроса, которые не будут обрабатываться HMAC устройствами аудита. |
audit_non_hmac_response_keys |
array | нет | Список ключей в объекте данных ответа, которые не будут обрабатываться HMAC устройствами аудита. |
cmd_enable_repl |
boolean | нет | Включите репликацию для этого монтирования |
default_lease_ttl |
string | нет | TTL аренды по умолчанию для этого монтирования. |
description |
string | нет | Удобное описание для данного бэкенда учетных данных. |
listing_visibility |
string | нет | Определяет видимость монтирования в конечной точке листинга, специфичной для пользовательского интерфейса. Принимаются значения 'unauth' и 'hidden', при этом пустое значение по умолчанию ('') ведет себя как 'hidden'. |
max_lease_ttl |
string | нет | Максимальное значение TTL аренды для данного крепления. |
options |
object | нет | Параметры для передачи в бэкенд. Это должен быть json-объект со строковыми ключами и значениями. |
passthrough_request_headers |
array | нет | Список заголовков, которые необходимо включить в белый список и передать из запроса в плагин. |
plugin_version |
string | нет | Семантическая версия плагина для использования. |
src_ca_cert |
string | нет | |
src_secret_path |
array | нет | |
src_token |
string | нет | |
sync_period_min |
integer | нет | |
token_type |
string | нет | Тип выпускаемого токена (сервисный или пакетный). |
user_lockout_config |
object | нет | Конфигурация блокировки пользователя для передачи в бэкэнд. Это должен быть json-объект со строковыми ключами и значениями. |
Ответы
200: OK
GET /sys/namespaces/
ID операции: namespaces-list-namespaces
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /sys/namespaces/{path}
ID операции: namespaces-read-namespace
Чтение информации о пространстве имен
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: "aws/east". |
Ответы
200: OK
POST /sys/namespaces/{path}
ID операции: namespaces-create-namespace
Создание нового пространства имен по указанному пути.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: "aws/east". |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
custom_metadata |
object | нет | Предоставленные пользователем пары ключ-значение, которые используются для описания информации о секрете. |
Ответы
204: OK
DELETE /sys/namespaces/{path}
ID операции: namespaces-delete-namespace
Удаление пространства имен, указанного по заданному пути.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
path |
string | path | да | Путь для монтирования. Пример: "aws/east". |
Ответы
200: OK
GET /sys/plugins/catalog
ID операции: plugins-catalog-list-plugins
Отображает все плагины, известные Stronghold
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
detailed |
object | нет |
GET /sys/plugins/catalog/{name}
ID операции: plugins-catalog-read-plugin-configuration
Возвращает данные конфигурации для плагина с заданным именем.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя плагина |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
args |
array | нет | Параметры, передаваемые команде плагина. |
builtin |
boolean | нет | |
command |
string | нет | Команда, используемая для запуска плагина. Исполняемый файл, заданный в этой команде, должен существовать в каталоге плагинов stronghold. |
deprecation_status |
string | нет | |
name |
string | нет | Имя плагина |
sha256 |
string | нет | Сумма SHA256 исполняемого файла, используемого в поле команды. Она должна быть закодирована в HEX. |
version |
string | нет | Семантическая версия плагина для использования. |
POST /sys/plugins/catalog/{name}
ID операции: plugins-catalog-register-plugin
Регистрирует новый плагин или обновляет существующий с указанным именем.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя плагина |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
args |
array | нет | Параметры, передаваемые команде плагина. |
command |
string | нет | Команда, используемая для запуска плагина. Исполняемый файл, заданный в этой команде, должен существовать в каталоге плагинов stronghold. |
env |
array | нет | Переменные окружения, передаваемые команде плагина. Каждая переменная имеет вид "ключ=значение". |
sha256 |
string | нет | Сумма SHA256 исполняемого файла, используемого в поле команды. Она должна быть закодирована в HEX. |
type |
string | нет | Тип плагина, может быть auth, secret или database. |
version |
string | нет | Семантическая версия плагина для использования. |
Ответы
200: OK
DELETE /sys/plugins/catalog/{name}
ID операции: plugins-catalog-remove-plugin
Удаление плагина с заданным именем.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя плагина |
Ответы
200: OK
GET /sys/plugins/catalog/{type}
ID операции: plugins-catalog-list-plugins-with-type
Отображает плагины в каталоге.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
type |
string | path | да | Тип плагина, может быть auth, secret или database. |
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | Список имен плагинов в каталоге |
GET /sys/plugins/catalog/{type}/{name}
ID операции: plugins-catalog-read-plugin-configuration-with-type
Возвращает данные конфигурации для плагина с заданным именем.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя плагина |
type |
string | path | да | Тип плагина, может быть auth, secret или database. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
args |
array | нет | Параметры, передаваемые команде плагина. |
builtin |
boolean | нет | |
command |
string | нет | Команда, используемая для запуска плагина. Исполняемый файл, заданный в этой команде, должен существовать в каталоге плагинов stronghold. |
deprecation_status |
string | нет | |
name |
string | нет | Имя плагина |
sha256 |
string | нет | Сумма SHA256 исполняемого файла, используемого в поле команды. Она должна быть закодирована в HEX. |
version |
string | нет | Семантическая версия плагина для использования. |
POST /sys/plugins/catalog/{type}/{name}
ID операции: plugins-catalog-register-plugin-with-type
Регистрирует новый плагин или обновляет существующий с указанным именем.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя плагина |
type |
string | path | да | Тип плагина, может быть auth, secret или database. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
args |
array | нет | Параметры, передаваемые команде плагина. |
command |
string | нет | Команда, используемая для запуска плагина. Исполняемый файл, заданный в этой команде, должен существовать в каталоге плагинов stronghold. |
env |
array | нет | Переменные окружения, передаваемые команде плагина. Каждая переменная имеет вид "ключ=значение". |
sha256 |
string | нет | Сумма SHA256 исполняемого файла, используемого в поле команды. Она должна быть закодирована в HEX. |
version |
string | нет | Семантическая версия плагина для использования. |
Ответы
200: OK
DELETE /sys/plugins/catalog/{type}/{name}
ID операции: plugins-catalog-remove-plugin-with-type
Удаление плагина с заданным именем.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя плагина |
type |
string | path | да | Тип плагина, может быть auth, secret или database. |
Ответы
200: OK
POST /sys/plugins/reload/backend
ID операции: plugins-reload-backends
Перезагрузите установленные бэкенды плагинов.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
mounts |
array | нет | Пути монтирования бэкендов плагинов для перезагрузки. |
plugin |
string | нет | Имя плагина для перезагрузки, зарегистрированного в каталоге плагинов. |
scope |
string | нет |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
reload_id |
string | нет |
202: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
reload_id |
string | нет |
GET /sys/plugins/reload/backend/status
ID операции: enterprise-stub-read-plugins-reload-backend-status
Ответы
200: OK
GET /sys/policies/acl
ID операции: policies-list-acl-policies
Отображает настроенные политики управления доступом.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | |
policies |
array | нет |
GET /sys/policies/acl/{name}
ID операции: policies-read-acl-policy
Получите информацию о названии политики ACL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики. Пример: "ops" |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
name |
string | нет | |
policy |
string | нет | |
rules |
string | нет |
POST /sys/policies/acl/{name}
ID операции: policies-write-acl-policy
Добавить новую или обновить существующую политику ACL.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики. Пример: "ops" |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policy |
string | нет | Правила политики. |
Ответы
204: OK
DELETE /sys/policies/acl/{name}
ID операции: policies-delete-acl-policy
Удаляет политику ACL с данным именем.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики. Пример: "ops" |
Ответы
204: OK
GET /sys/policies/egp
ID операции: enterprise-stub-list-policies-egp
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /sys/policies/egp/{name}
ID операции: enterprise-stub-read-policies-egp-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
200: OK
POST /sys/policies/egp/{name}
ID операции: enterprise-stub-write-policies-egp-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
200: OK
DELETE /sys/policies/egp/{name}
ID операции: enterprise-stub-delete-policies-egp-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
204: пустое тело
GET /sys/policies/password
ID операции: policies-list-password-policies
Отображает существующие политики паролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет |
GET /sys/policies/password/{name}
ID операции: policies-read-password-policy
Извлечение существующей политики паролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики паролей. |
Ответы
204: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policy |
string | нет |
POST /sys/policies/password/{name}
ID операции: policies-write-password-policy
Добавьте новую или обновите существующую политику паролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики паролей. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policy |
string | нет | Политика паролей |
Ответы
204: OK
DELETE /sys/policies/password/{name}
ID операции: policies-delete-password-policy
Удаление политики паролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики паролей. |
Ответы
204: OK
GET /sys/policies/password/{name}/generate
ID операции: policies-generate-password-from-password-policy
Генерировать пароль из существующей политики паролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики паролей. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
password |
string | нет |
GET /sys/policies/rgp
ID операции: enterprise-stub-list-policies-rgp
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /sys/policies/rgp/{name}
ID операции: enterprise-stub-read-policies-rgp-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
200: OK
POST /sys/policies/rgp/{name}
ID операции: enterprise-stub-write-policies-rgp-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
200: OK
DELETE /sys/policies/rgp/{name}
ID операции: enterprise-stub-delete-policies-rgp-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
204: пустое тело
GET /sys/policy
ID операции: policies-list
Отображает настроенные политики управления доступом.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string | query | нет | Возвращает список, если true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет | |
policies |
array | нет |
GET /sys/policy/{name}
ID операции: policies-read-acl-policy2
Получение тела политики для названной политики.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики. Пример: "ops" |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
name |
string | нет | |
policy |
string | нет | |
rules |
string | нет |
POST /sys/policy/{name}
ID операции: policies-write-acl-policy2
Добавьте новую или обновите существующую политику.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики. Пример: "ops" |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policy |
string | нет | Правила политики. |
rules |
string | нет | ⚠️ Устарело. Правила политики. |
Ответы
204: OK
DELETE /sys/policy/{name}
ID операции: policies-delete-acl-policy2
Удаление политики с заданным именем.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя политики. Пример: "ops" |
Ответы
204: OK
GET /sys/pprof
ID операции: pprof-index
Возвращает HTML-страницу, на которой перечислены доступные профили.
Ответы
200: OK
GET /sys/pprof/allocs
ID операции: pprof-memory-allocations
Возвращает выборку всех прошлых выделений памяти.
Ответы
200: OK
GET /sys/pprof/block
ID операции: pprof-blocking
Возвращает трассировку стека, которая привела к блокировке примитивов синхронизации
Ответы
200: OK
GET /sys/pprof/cmdline
ID операции: pprof-command-line
Возвращает командную строку запущенной программы.
Ответы
200: OK
GET /sys/pprof/goroutine
ID операции: pprof-goroutines
Возвращает трассировку стека всех текущих goroutines.
Ответы
200: OK
GET /sys/pprof/heap
ID операции: pprof-memory-allocations-live
Возвращает выборку выделений памяти для живого объекта.
Ответы
200: OK
GET /sys/pprof/mutex
ID операции: pprof-mutexes
Возвращает трассировку стека держателей мьютексов, находящихся в споре
Ответы
200: OK
GET /sys/pprof/profile
ID операции: pprof-cpu-profile
Возвращает полезную нагрузку профиля процессора в формате pprof.
Ответы
200: OK
GET /sys/pprof/symbol
ID операции: pprof-symbols
Возвращает счетчики программ, перечисленные в запросе.
Ответы
200: OK
GET /sys/pprof/threadcreate
ID операции: pprof-thread-creations
Возвращает трассировки стека, которые привели к созданию новых потоков ОС
Ответы
200: OK
GET /sys/pprof/trace
ID операции: pprof-execution-trace
Возвращает трассировку выполнения в двоичном виде.
Ответы
200: OK
GET /sys/quotas/config
ID операции: rate-limit-quotas-read-configuration
Создание, обновление и чтение конфигурации квот.
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
enable_rate_limit_audit_logging |
boolean | нет | |
enable_rate_limit_response_headers |
boolean | нет | |
rate_limit_exempt_paths |
array | нет |
POST /sys/quotas/config
ID операции: rate-limit-quotas-configure
Создание, обновление и чтение конфигурации квот.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
enable_rate_limit_audit_logging |
boolean | нет | Если задано, начинает вести журнал аудита запросов, отклоненных из-за нарушения правила ограничения квот. |
enable_rate_limit_response_headers |
boolean | нет | Если установлено, в ответы будут добавлены дополнительные HTTP-заголовки ограничения скорости. |
rate_limit_exempt_paths |
array | нет | Указывает список путей, освобожденных от всех квот ограничения скорости. Если список пуст, ни один путь не будет освобожден. |
Ответы
204: OK
GET /sys/quotas/lease-count
ID операции: enterprise-stub-list-quotas-lease-count
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /sys/quotas/lease-count/{name}
ID операции: enterprise-stub-read-quotas-lease-count-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
200: OK
POST /sys/quotas/lease-count/{name}
ID операции: enterprise-stub-write-quotas-lease-count-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
200: OK
DELETE /sys/quotas/lease-count/{name}
ID операции: enterprise-stub-delete-quotas-lease-count-name
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да |
Ответы
204: пустое тело
GET /sys/quotas/rate-limit
ID операции: rate-limit-quotas-list
Отображает имена всех квот ограничения скорости.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
array | нет |
GET /sys/quotas/rate-limit/{name}
ID операции: rate-limit-quotas-read
Получение, создание или обновление квоты ресурсов для необязательного пространства имен или монтирования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя правила квотирования. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
block_interval |
integer | нет | |
interval |
integer | нет | |
name |
string | нет | |
path |
string | нет | |
rate |
number | нет | |
role |
string | нет | |
type |
string | нет |
POST /sys/quotas/rate-limit/{name}
ID операции: rate-limit-quotas-write
Получение, создание или обновление квоты ресурсов для необязательного пространства имен или монтирования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя правила квотирования. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
block_interval |
integer | нет | Если установлено, то когда клиент достигает порога ограничения скорости, ему будет запрещено выполнять дальнейшие запросы до истечения 'block_interval'. |
interval |
integer | нет | Продолжительность, в течение которой будет действовать ограничение скорости (по умолчанию '1s'). |
path |
string | нет | Путь к монтируемому объекту или пространству имен для применения квоты. Пустой путь настраивает глобальную квоту. Например, namespace1/ добавляет квоту к полному пространству имен, namespace1/auth/userpass добавляет квоту к userpass в namespace1. |
rate |
number | нет | Максимальное количество запросов в заданном интервале, разрешенное правилом квотирования. Значение 'rate' должно быть положительным. |
role |
string | нет | Роль входа в систему, к которой будет применяться данная квота. Обратите внимание, что при установке параметра path должен быть настроен правильный метод аутентификации с концепцией ролей. |
type |
string | нет | Тип правила квотирования. |
Ответы
204: No Content
DELETE /sys/quotas/rate-limit/{name}
ID операции: rate-limit-quotas-delete
Получение, создание или обновление квоты ресурсов для необязательного пространства имен или монтирования.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя правила квотирования. |
Ответы
204: OK
GET /sys/rekey/backup
ID операции: rekey-read-backup-key
Возврат резервной копии PGP-зашифрованных ключей.
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
object | нет | |
keys_base64 |
object | нет | |
nonce |
string | нет |
DELETE /sys/rekey/backup
ID операции: rekey-delete-backup-key
Удаляет резервную копию PGP-зашифрованных ключей.
Ответы
204: OK
GET /sys/rekey/init
ID операции: rekey-attempt-read-progress
Считывает информацию о конфигурации и ходе выполнения текущей попытки повторного ключа.
Доступен без аутентификации: да
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
backup |
boolean | нет | |
n |
integer | нет | |
nounce |
string | нет | |
pgp_fingerprints |
array | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
string | нет | |
t |
integer | нет | |
verification_nonce |
string | нет | |
verification_required |
boolean | нет |
POST /sys/rekey/init
ID операции: rekey-attempt-initialize
Инициализирует новую попытку повторного ключа.
Доступен без аутентификации: да
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
backup |
boolean | нет | Указывает, следует ли Stronghold хранить резервную копию PGP-шифрованных ключей в открытом виде, если используются PGP-шифрованные ключи. |
pgp_keys |
array | нет | Указывает массив открытых ключей PGP, используемых для шифрования выходных ключей разблокировки. Порядок следования сохраняется. Ключи должны быть закодированы в base64 из их исходного двоичного представления. Размер этого массива должен быть таким же, как secret_shares. |
require_verification |
boolean | нет | Включение функции проверки |
secret_shares |
integer | нет | Указывает количество долей, на которые нужно разделить ключ разблокировки. |
secret_threshold |
integer | нет | Указывает количество долей, необходимых для восстановления ключа unseal. Это значение должно быть меньше или равно secret_shares. При использовании Stronghold HSM с автоматической разблокировкой это значение должно быть равно secret_shares. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
backup |
boolean | нет | |
n |
integer | нет | |
nounce |
string | нет | |
pgp_fingerprints |
array | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
string | нет | |
t |
integer | нет | |
verification_nonce |
string | нет | |
verification_required |
boolean | нет |
DELETE /sys/rekey/init
ID операции: rekey-attempt-cancel
Отменяет любой выполняемый повторный ключ.
Доступен без аутентификации: да
Ответы
200: OK
GET /sys/rekey/recovery-key-backup
ID операции: rekey-read-backup-recovery-key
Позволяет получить или удалить резервную копию повернутых ключей без печати.
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys |
object | нет | |
keys_base64 |
object | нет | |
nonce |
string | нет |
DELETE /sys/rekey/recovery-key-backup
ID операции: rekey-delete-backup-recovery-key
Позволяет получить или удалить резервную копию повернутых ключей без печати.
Ответы
204: OK
POST /sys/rekey/update
ID операции: rekey-attempt-update
Введите одну часть ключа, чтобы продвинуть смену ключа Stronghold.
Доступен без аутентификации: да
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key |
string | нет | Указывает единственный ресурс ключей для разблокировки. |
nonce |
string | нет | Указывает нонс попытки повторного ключа. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
backup |
boolean | нет | |
complete |
boolean | нет | |
keys |
array | нет | |
keys_base64 |
array | нет | |
n |
integer | нет | |
nounce |
string | нет | |
pgp_fingerprints |
array | нет | |
progress |
integer | нет | |
required |
integer | нет | |
started |
string | нет | |
t |
integer | нет | |
verification_nonce |
string | нет | |
verification_required |
boolean | нет |
GET /sys/rekey/verify
ID операции: rekey-verification-read-progress
Считывание информации о конфигурации и ходе выполнения текущей попытки проверки ключа.
Доступен без аутентификации: да
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
n |
integer | нет | |
nounce |
string | нет | |
progress |
integer | нет | |
started |
string | нет | |
t |
integer | нет |
POST /sys/rekey/verify
ID операции: rekey-verification-update
Введите один новый ключевой ресурс, чтобы выполнить операцию проверки нового ключа.
Доступен без аутентификации: да
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key |
string | нет | Указывает единственный ключ разблокировки ресурса из нового набора ресурсов. |
nonce |
string | нет | Указывает nonce операции проверки повторного ключа. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
complete |
boolean | нет | |
nounce |
string | нет |
DELETE /sys/rekey/verify
ID операции: rekey-verification-cancel
Отмена любой выполняемой операции проверки ключа.
Доступен без аутентификации: да
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
n |
integer | нет | |
nounce |
string | нет | |
progress |
integer | нет | |
started |
string | нет | |
t |
integer | нет |
POST /sys/remount
ID операции: remount
Запуск миграции монтирования
Требует sudo: да
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
from |
string | нет | Предыдущая точка монтирования. |
to |
string | нет | Новая точка монтирования. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
migration_id |
string | нет |
GET /sys/remount/status/{migration_id}
ID операции: remount-status
Проверка состояния миграции монтирования
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
migration_id |
string | path | да | Идентификатор операции миграции |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
migration_id |
string | нет | |
migration_info |
object | нет |
POST /sys/renew
ID операции: leases-renew-lease2
Продление договора аренды, запрос на продление договора аренды.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
increment |
integer | нет | Желаемый прирост в секундах к сроку аренды |
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды. |
url_lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды. |
Ответы
204: OK
POST /sys/renew/{url_lease_id}
ID операции: leases-renew-lease-with-id2
Продление договора аренды, запрос на продление договора аренды.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
url_lease_id |
string | path | да | Идентификатор аренды для продления. Он включается в договор аренды. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
increment |
integer | нет | Желаемый прирост в секундах к сроку аренды |
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды. |
Ответы
204: OK
GET /sys/replication/status
ID операции: system-read-replication-status
Доступен без аутентификации: да
Ответы
200: OK
POST /sys/revoke
ID операции: leases-revoke-lease2
Немедленно аннулирует договор аренды.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды. |
sync |
boolean (default: True) | нет | Выполнять или не выполнять отзыв синхронно |
url_lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды. |
Ответы
204: OK
POST /sys/revoke-force/{prefix}
ID операции: leases-force-revoke-lease-with-prefix2
Немедленно отзывает все секреты или токены, созданные под данным префиксом.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
prefix |
string | path | да | Путь для отзыва ключей. Пример: "prod/aws/ops". |
Ответы
204: OK
POST /sys/revoke-prefix/{prefix}
ID операции: leases-revoke-lease-with-prefix2
Немедленно отменяет все секреты (через префикс идентификатора аренды) или токены (через свойство пути токенов), созданные под данным префиксом.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
prefix |
string | path | да | Путь для отзыва ключей. Пример: "prod/aws/ops". |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
sync |
boolean (default: True) | нет | Выполнять или не выполнять отзыв синхронно |
Ответы
204: OK
POST /sys/revoke/{url_lease_id}
ID операции: leases-revoke-lease-with-id2
Немедленно аннулирует договор аренды.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
url_lease_id |
string | path | да | Идентификатор аренды для продления. Он включается в договор аренды. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
lease_id |
string | нет | Идентификатор аренды для продления. Он включается в договор аренды. |
sync |
boolean (default: True) | нет | Выполнять или не выполнять отзыв синхронно |
Ответы
204: OK
POST /sys/rotate
ID операции: encryption-key-rotate
Поворачивает ключ шифрования бэкэнда, используемый для сохранения данных.
Требует sudo: да
Ответы
204: OK
GET /sys/rotate/config
ID операции: encryption-key-read-rotation-configuration
Настройка параметров, связанных с управлением ключами шифрования на внутреннем сервере.
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
enabled |
boolean | нет | |
interval |
integer | нет | |
max_operations |
integer | нет |
POST /sys/rotate/config
ID операции: encryption-key-configure-rotation
Настройка параметров, связанных с управлением ключами шифрования на внутреннем сервере.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
enabled |
boolean | нет | Включено ли автоматическое вращение. |
interval |
integer | нет | Через какое время после установки активного ключа он будет автоматически поворачиваться. |
max_operations |
integer | нет | Количество операций шифрования, выполняемых до автоматического поворота барьерного ключа. |
Ответы
204: OK
POST /sys/seal
ID операции: seal
Запечатайте Stronghold.
Ответы
204: OK
GET /sys/seal-status
ID операции: seal-status
Проверить статус запечатаности Stronghold.
Доступен без аутентификации: да
Ответы
200:
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
build_date |
string | нет | |
cluster_id |
string | нет | |
cluster_name |
string | нет | |
hcp_link_resource_ID |
string | нет | |
hcp_link_status |
string | нет | |
initialized |
boolean | нет | |
migration |
boolean | нет | |
n |
integer | нет | |
nonce |
string | нет | |
progress |
integer | нет | |
recovery_seal |
boolean | нет | |
sealed |
boolean | нет | |
storage_type |
string | нет | |
t |
integer | нет | |
type |
string | нет | |
version |
string | нет |
GET /sys/sealwrap/rewrap
ID операции: system-read-sealwrap-rewrap
Ответы
200: OK
POST /sys/sealwrap/rewrap
ID операции: system-write-sealwrap-rewrap
Ответы
200: OK
POST /sys/step-down
ID операции: step-down-leader
Причиняет узлу отказ от активного статуса.
Ответы
204: пустое тело
GET /sys/storage/raft/autopilot/configuration
ID операции: system-read-storage-raft-autopilot-configuration
Возвращает конфигурацию автопилота.
Ответы
200: OK
POST /sys/storage/raft/autopilot/configuration
ID операции: system-write-storage-raft-autopilot-configuration
Возвращает конфигурацию автопилота.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cleanup_dead_servers |
boolean | нет | Управляет тем, удалять ли неработающие серверы из списка узлов Raft периодически или когда присоединяется новый сервер. |
dead_server_last_contact_threshold |
integer | нет | Ограничение на время, в течение которого сервер может работать без контакта с лидером, прежде чем он будет считаться вышедшим из строя. Действует только при установленном cleanup_dead_servers. |
disable_upgrade_migration |
boolean | нет | Выполнять ли автоматические обновления версий. |
dr_operation_token |
string | нет | Токен операции DR, используемый для авторизации этого запроса (если это вторичный узел DR). |
last_contact_threshold |
integer | нет | Ограничение на время, в течение которого сервер может работать без контакта с лидером, прежде чем он будет считаться нездоровым. |
max_trailing_logs |
integer | нет | Количество записей в журнале Raft, на которое сервер может отставать, прежде чем он будет считаться нездоровым. |
min_quorum |
integer | нет | Минимальное количество серверов, разрешенное в кластере, прежде чем автопилот сможет удалять неработающие серверы. Должно быть не менее 3. |
server_stabilization_time |
integer | нет | Минимальное время, в течение которого сервер должен находиться в стабильном, работоспособном состоянии, прежде чем он может быть добавлен в кластер. |
Ответы
200: OK
GET /sys/storage/raft/autopilot/state
ID операции: system-read-storage-raft-autopilot-state
Возвращает состояние кластера raft под интегрированным хранилищем, как видит автопилот.
Ответы
200: OK
POST /sys/storage/raft/bootstrap/answer
ID операции: system-write-storage-raft-bootstrap-answer
Принимает ответ от узла, который должен быть присоединен к кластеру raft.
Доступен без аутентификации: да
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
answer |
string | нет | |
cluster_addr |
string | нет | |
non_voter |
boolean | нет | |
server_id |
string | нет |
Ответы
200: OK
POST /sys/storage/raft/bootstrap/challenge
ID операции: system-write-storage-raft-bootstrap-challenge
Создает вызов для нового узла, который должен быть присоединен к кластеру raft.
Доступен без аутентификации: да
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
server_id |
string | нет |
Ответы
200: OK
GET /sys/storage/raft/configuration
ID операции: system-read-storage-raft-configuration
Возвращает конфигурацию кластера raft.
Ответы
200: OK
POST /sys/storage/raft/configuration
ID операции: system-write-storage-raft-configuration
Возвращает конфигурацию кластера raft в вторичном кластере DR.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
dr_operation_token |
string | нет | Токен операции DR, используемый для авторизации этого запроса (если это вторичный узел DR). |
Ответы
200: OK
POST /sys/storage/raft/remove-peer
ID операции: system-write-storage-raft-remove-peer
Удаление узла из кластера raft.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
dr_operation_token |
string | нет | Токен операции DR, используемый для авторизации этого запроса (если это вторичный узел DR). |
server_id |
string | нет |
Ответы
200: OK
GET /sys/storage/raft/snapshot
ID операции: system-read-storage-raft-snapshot
Возвращает снимок текущего состояния хранилища.
Ответы
200: OK
POST /sys/storage/raft/snapshot
ID операции: system-write-storage-raft-snapshot
Устанавливает предоставленный снимок, возвращая кластер в состояние, определенное в нем.
Ответы
200: OK
GET /sys/storage/raft/snapshot-auto/config
ID операции: system-list-storage-raft-snapshot-auto-config
Отображает все имена конфигураций автоматических снимков.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /sys/storage/raft/snapshot-auto/config/{name}
ID операции: system-read-storage-raft-snapshot-auto-config-name
Получает конфигурацию автоматического снимка.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя конфигурации для изменения. |
Ответы
200: OK
POST /sys/storage/raft/snapshot-auto/config/{name}
ID операции: system-write-storage-raft-snapshot-auto-config-name
Обновляет конфигурацию автоматического снимка.
Требует sudo: да
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя конфигурации для изменения. |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
aws_access_key_id |
string | нет | Идентификатор ключа доступа S3. |
aws_s3_bucket |
string | да | Контейнер S3 для записи снимков. |
aws_s3_ca_certificate |
string (default: ) | нет | Сертификат CA S3 в формате PEM. |
aws_s3_disable_tls |
boolean (default: False) | нет | Отключить TLS для конечной точки S3. Следует использовать только в целях тестирования, обычно в сочетании с s3_endpoint. |
aws_s3_endpoint |
string | нет | Конечная точка S3. |
aws_s3_region |
string (default: ) | нет | Регион S3, в котором находится контейнер. |
aws_secret_access_key |
string | нет | Секретный ключ доступа S3. |
file_prefix |
string (default: stronghold-snapshot) | нет | В каталоге или префиксе контейнера, заданном path_prefix, имя файла или объекта файлов снимков будет начинаться с этой строки. |
interval |
integer | да | Время между снимками. Может быть целым числом секунд или строкой формата длительности Go (например, 24h). |
local_max_space |
integer (default: 0) | да | Для storage_type=local - максимальное пространство в байтах для использования всех снимков с заданным file_prefix в каталоге path_prefix. Попытки создания снимков будут неудачными, если в этом лимите недостаточно места. Значение 0 отключает ограничение. |
path_prefix |
string | да | Для storage_type=local - каталог для записи снимков. Для типов облачного хранилища - префикс контейнера для использования, также ведущий / игнорируется. Завершающий / необязателен. |
retain |
integer (default: 3) | нет | Сколько снимков следует хранить; при записи снимка, если уже сохранено снимков больше этого числа, самые старые будут удалены. |
storage_type |
string (local, aws-s3) | да | Один из "local" или "s3". Остальные параметры, описанные ниже, относятся к выбранному storage_type и имеют соответствующие префиксы. |
Ответы
200: OK
DELETE /sys/storage/raft/snapshot-auto/config/{name}
ID операции: system-delete-storage-raft-snapshot-auto-config-name
Удаляет конфигурацию автоматического снимка.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя конфигурации для изменения. |
Ответы
204: пустое тело
GET /sys/storage/raft/snapshot-auto/status/{name}
ID операции: system-read-storage-raft-snapshot-auto-status-name
Отображает статус автоматического снимка.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name |
string | path | да | Имя статуса для получения. |
Ответы
200: OK
POST /sys/storage/raft/snapshot-force
ID операции: system-write-storage-raft-snapshot-force
Устанавливает предоставленный снимок, возвращая кластер в состояние, определенное в нем. Это обходит проверки, обеспечивающие соответствие текущих ключей Autounseal или Shamir данным снимка.
Ответы
200: OK
POST /sys/tools/hash
ID операции: generate-hash
Сгенерируйте хеш-сумму для входных данных
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Используемый алгоритм (параметр тела POST). Допустимые значения: * sha2-224 * sha2-256 * sha2-384 * sha2-512 По умолчанию - "sha2-256". |
format |
string (default: hex) | нет | Используемый формат кодировки. Может быть "hex" или "base64". По умолчанию используется "hex". |
input |
string | нет | Входные данные в кодировке base64 |
urlalgorithm |
string | нет | Используемый алгоритм (параметр POST URL) |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
sum |
string | нет |
POST /sys/tools/hash/{urlalgorithm}
ID операции: generate-hash-with-algorithm
Сгенерируйте хеш-сумму для входных данных
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
urlalgorithm |
string | path | да | Используемый алгоритм (параметр POST URL) |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
algorithm |
string (default: sha2-256) | нет | Используемый алгоритм (параметр тела POST). Допустимые значения: * sha2-224 * sha2-256 * sha2-384 * sha2-512 По умолчанию - "sha2-256". |
format |
string (default: hex) | нет | Используемый формат кодировки. Может быть "hex" или "base64". По умолчанию используется "hex". |
input |
string | нет | Входные данные в кодировке base64 |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
sum |
string | нет |
POST /sys/tools/random
ID операции: generate-random
Генерировать случайные байты
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит). |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть "hex" или "base64". По умолчанию используется "base64". |
source |
string (default: platform) | нет | Из какой системы брать случайные данные: "платформа", "печать" или "все". |
urlbytes |
string | нет | Количество байт для генерации (параметр POST URL). |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
random_bytes |
string | нет |
POST /sys/tools/random/{source}
ID операции: generate-random-with-source
Генерировать случайные байты
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
source |
string | path | да | Из какой системы брать случайные данные: "платформа", "печать" или "все". |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит). |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть "hex" или "base64". По умолчанию используется "base64". |
urlbytes |
string | нет | Количество байт для генерации (параметр POST URL). |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
random_bytes |
string | нет |
POST /sys/tools/random/{source}/{urlbytes}
ID операции: generate-random-with-source-and-bytes
Генерировать случайные байты
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
source |
string | path | да | Из какой системы брать случайные данные: "платформа", "печать" или "все". |
urlbytes |
string | path | да | Количество байт для генерации (параметр POST URL). |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит). |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть "hex" или "base64". По умолчанию используется "base64". |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
random_bytes |
string | нет |
POST /sys/tools/random/{urlbytes}
ID операции: generate-random-with-bytes
Генерировать случайные байты
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
urlbytes |
string | path | да | Количество байт для генерации (параметр POST URL). |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bytes |
integer (default: 32) | нет | Количество генерируемых байтов (параметр тела POST). По умолчанию равно 32 (256 бит). |
format |
string (default: base64) | нет | Используемый формат кодировки. Может быть "hex" или "base64". По умолчанию используется "base64". |
source |
string (default: platform) | нет | Из какой системы брать случайные данные: "платформа", "печать" или "все". |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
random_bytes |
string | нет |
POST /sys/unseal
ID операции: unseal
Разблокировать Stronghold.
Доступен без аутентификации: да
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key |
string | нет | Указывает единственный ресурс ключей для разблокировки. Это необходимо, если значение reset не равно true. |
reset |
boolean | нет | Указывает, отбрасываются ли ранее предоставленные ключи разблокировки и сбрасывается ли процесс разблокировки. |
Ответы
200:
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
build_date |
string | нет | |
cluster_id |
string | нет | |
cluster_name |
string | нет | |
hcp_link_resource_ID |
string | нет | |
hcp_link_status |
string | нет | |
initialized |
boolean | нет | |
migration |
boolean | нет | |
n |
integer | нет | |
nonce |
string | нет | |
progress |
integer | нет | |
recovery_seal |
boolean | нет | |
sealed |
boolean | нет | |
storage_type |
string | нет | |
t |
integer | нет | |
type |
string | нет | |
version |
string | нет |
GET /sys/version-history
ID операции: version-history
Возвращает карту исторических записей об изменении версии
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list |
string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
key_info |
object | нет | |
keys |
array | нет |
GET /sys/wrapping/lookup
ID операции: read-wrapping-properties2
Просмотрите свойства обертки для токена запросчика.
Доступен без аутентификации: да
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
creation_path |
string | нет | |
creation_time |
string | нет | |
creation_ttl |
integer | нет |
POST /sys/wrapping/lookup
ID операции: read-wrapping-properties
Поиск свойств обертки для данного токена.
Доступен без аутентификации: да
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token |
string | нет |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
creation_path |
string | нет | |
creation_time |
string | нет | |
creation_ttl |
integer | нет |
POST /sys/wrapping/rewrap
ID операции: rewrap
Вращает маркер, завернутый в ответ.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token |
string | нет |
Ответы
200: OK
POST /sys/wrapping/unwrap
ID операции: unwrap
Разворачивает завернутый в ответ маркер.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token |
string | нет |
Ответы
200: OK
204: No content
POST /sys/wrapping/wrap
ID операции: wrap
Обертка ответа для произвольного объекта JSON.
Ответы
200: OK