主要观点：在动态云原生环境中管理公钥基础设施（PKI）具有挑战性，需采用更自动化和可扩展的方法。本文探讨将 HashiCorp Vault 配置为 FreeIPA 下的从属证书颁发机构（CA），实现请求证书和构建受信任证书链。
关键信息：

• 许多组织依赖 FreeIPA 进行身份验证和证书颁发，但其未设计与 Kubernetes 集成，HashiCorp Vault 可解决此问题。
• 构建两层证书颁发机构系统，FreeIPA CA 为根 CA，Vault 为中间 CA 并由 FreeIPA 签名，增强安全性和可维护性。
• 详细介绍了 FreeIPA 配置，包括创建证书配置文件（如 caSubCertAuth2.cfg）、创建证书访问控制列表（ACL）、在 Vault 中配置中间 CA（如挂载 PKI 后端、设置 TTL、生成 CSR 等）及创建角色等步骤。
  重要细节：
• 在 FreeIPA 配置中，需更新特定行的地址，如 policyset.caSubCertSet.9.default.params.crlDistPointsPointName_0。
• 在 Vault 配置中，各步骤的命令及参数设置，如写入中间证书签名请求、配置中间证书颁发机构的签名证书、设置 CRL 位置及创建角色等。最后通过请求证书并创建证书链使证书有效。