acme.credentials de cada perfil a través de un provider de secretos enchufable. Se selecciona con secrets.provider en broker.yml.
| Provider | Cuándo usarlo |
|---|---|
env | Broker único; credenciales en variables de entorno. |
file | Credenciales en el filesystem del broker (p. ej. archivo renderizado por Ansible). |
vault | HashiCorp Vault KV. |
openbao | OpenBao KV (mismo protocolo que Vault). |
env (por defecto)
acme.credentials se trata como nombre de variable de entorno:
/etc/systemd/system/certplane-broker.service.d/env.conf
file
acme.credentials se interpreta como ruta de archivo. El broker lee el contenido, lo recorta y lo usa como secreto. El archivo debe ser legible por el usuario certplane.
policy.yml
vault / openbao
| Campo | Por defecto | Notas |
|---|---|---|
address | — | Obligatorio con vault u openbao. |
token | — | Token inline. Evítalo. |
token_file | — | Archivo con el token. Preferido. |
mount_path | secret | Mount del KV. |
kv_version | 2 | 1 o 2. |
key | value | Clave dentro del JSON del secreto. |
timeout | 10s | |
namespace | — | Solo Vault Enterprise. |
acme.credentials nombra la ruta en Vault relativa a mount_path. Con mount_path: secret y kv_version: 2:
policy.yml
secret/data/certplane/cloudflare/example-com y devuelve el valor en data.value (o lo que diga vault.key).
Tutorial completo: Secretos en Vault y OpenBao.
Cómo elegir
- ¿Solo arrancando?
env. Dos segundos. - ¿Producción single-broker?
fileestá bien si ya renderizas con tu config-management. - ¿Multi-broker o rotación centralizada?
vaultuopenbao.