vault: SSH CA 설정 및 자동 서명 자동화 기록

infra/vault.md

@@ -39,6 +39,21 @@ vault.inouter.com(Synology)에서 hcv.inouter.com(K3s)으로 이관 완료 (2026
 | domain/ | globalping, maxmind, namecheap, namecheap/api, namecheap/api-server, namecheap/deposit-api, namecheap/registrant | 도메인/DNS |
 | auth/ | api-keys/openai, api-keys/stripe, google/ca/external-account-key, google/ca/service-account | 인증 |
 
+## SSH CA (Signed Certificates)
+
+Vault SSH Secrets Engine (ssh-client-signer/) 활성화. CA 키: ed25519. 역할: admin (allowed_users: root,kaffa, TTL 8h, max 24h).
+
+CA 등록 완료 서버:
+- [[infra-hosts|apisix-osaka]] (100.108.39.107) — root
+- [[infra-hosts|incus-jp1]] (100.109.123.1) — kaffa
+- [[infra-hosts|incus-kr1]] (100.84.111.28) — kaffa
+- [[infra-hosts|incus-kr2]] (100.119.109.41) — kaffa
+- [[infra-hosts|sandbox-tokyo]] (100.79.87.48) — root
+
+미등록: jump-seoul (접속 불가), safeline-osaka (응답 없음)
+
+자동화: ~/.ssh/vault-sign.sh가 인증서 만료 시 자동 재발급. ~/.ssh/config에 Match exec로 연동. `ssh apisix-osaka` 등 일반 SSH처럼 사용 가능.
+
 ## MCP 서버
 
 vault-mcp-server v0.2.0 (hashicorp/vault-mcp-server:0.2.0 Docker 이미지). K3s vault namespace에 Deployment로 배포. streamable-http 모드, 엔드포인트: https://hcv.inouter.com/mcp. 내부 통신: vault-active.vault.svc.cluster.local:8200. token은 Secret vault-mcp-token에 저장. Claude Code MCP 설정: type http, url https://hcv.inouter.com/mcp. K3s Ingress vault-mcp가 /mcp 경로를 vault-mcp-server Service(8080)로 라우팅. 로컬 바이너리도 /usr/local/bin/vault-mcp-server에 설치됨.