Certplane es un plano de control de certificados ligero que gestiona certificados TLS públicos para tus servidores y servicios, sin necesidad de Kubernetes ni herramientas específicas de la nube. Utiliza la identidad de máquina (emitida por tu CA interna) para autenticar hosts, aplica un archivo de política declarativa que controla exactamente qué certificados puede solicitar cada host y mantiene las claves privadas locales en cada máquina en todo momento.Documentation Index
Fetch the complete documentation index at: https://certplane.kippel.org/llms.txt
Use this file to discover all available pages before exploring further.
Inicio rápido
Instala el agente y el broker, registra tu primer host y obtén un certificado en minutos.
Cómo funciona
Comprende el flujo de registro y renovación antes de desplegarlo.
Configuración del broker
Configura y ejecuta el broker central que emite certificados a tus agentes.
Referencia de políticas
Define qué hosts pueden solicitar qué certificados mediante el archivo de política declarativa.
Funciones principales
- Generación local de claves — Las claves privadas se generan en cada host y nunca se transmiten. Solo los CSR salen de la máquina.
- Autenticación por identidad de máquina — Los agentes se autentican ante el broker con mTLS usando certificados de identidad emitidos por tu CA interna (step-ca).
- Política declarativa — Un único archivo YAML controla qué identidades de host pueden solicitar qué perfiles de certificado. Los cambios surten efecto sin reiniciar el broker.
- Renovación automática — El agente supervisa la fecha de expiración del certificado y lo renueva con antelación, con ventanas de renovación configurables.
- Hooks posteriores a la renovación — Ejecuta cualquier comando de shell después de instalar un certificado (por ejemplo,
systemctl reload nginx). - Integración con ACME — El broker obtiene certificados públicos de Let’s Encrypt mediante los desafíos dns-01 o http-01.
- Secretos flexibles — Almacena valores sensibles (tokens de API DNS, claves de cuenta ACME) en variables de entorno, archivos, HashiCorp Vault u OpenBao.
Componentes
Certplane consta de dos binarios:| Componente | Función |
|---|---|
certplane-agent | Se ejecuta en cada host. Genera claves, solicita certificados a través del broker y los renueva automáticamente. |
certplane-broker | Servidor central. Aplica la política, se comunica con tu CA pública mediante ACME y almacena en caché los certificados emitidos. |
Despliega el broker
Configura el broker con tu proveedor ACME y archivo de política. Consulta Configuración del broker.
Registra tu primer host
Genera un token de arranque, escríbelo en tu host y ejecuta
certplane-agent enroll. Consulta Registro del agente.Inicia el agente
Ejecuta
certplane-agent run para iniciar el bucle de renovación de certificados. Consulta Ejecución del agente.Configura tu política
Define perfiles de certificado y autoriza hosts en tu archivo de política. Consulta Resumen de políticas.