Inicio rápido
Instala el broker y el agente, registra tu primer host y obtén un certificado de extremo a extremo.
Cómo funciona
Entiende el flujo de registro y renovación antes de desplegar.
Roles de Ansible
Despliega el broker y el agente con los roles oficiales
certplane_broker y certplane_agent.Referencia de política
Define qué hosts pueden solicitar qué certificados mediante el archivo de política declarativa.
Características principales
- Diseño IaC-first — Cada pieza de configuración de Certplane (
broker.yml,policy.yml,agent.yml) es un archivo YAML renderizado desde tu inventario por tu herramienta de gestión de configuración existente. No hay interfaz web ni API en tiempo de ejecución para cambios de política. Los roles oficiales de Ansible se publican en el directorioansible/del repositorio. Consulta la guía de roles de Ansible. - Generación de claves en el host — Las claves privadas se generan en cada host y nunca se transmiten. Solo los CSR salen de la máquina.
- Autenticación por identidad de máquina — Los agentes se autentican al broker con mTLS usando certificados de identidad emitidos por tu CA interna (
step-ca). - Política declarativa — Un único archivo YAML controla qué identidades pueden solicitar qué perfiles. Con
policy.watch: trueel broker recarga la política sin reiniciar. - Renovación automática — El agente vigila la expiración y renueva antes de tiempo. Las ventanas de renovación son configurables por certificado.
- Hooks post-renovación — Ejecuta cualquier comando shell después de instalar un certificado (p. ej.
systemctl reload nginx). - Registro de auditoría — Cada decisión de emisión queda registrada por el broker y se consulta con
certplane-broker audit tail.
Lo que obtienes de fábrica
| Componente | Qué hace |
|---|---|
certplane-broker | API mTLS central que autentica agentes, aplica política, habla con ACME, cachea certificados emitidos y registra eventos de auditoría. |
certplane-agent | Se ejecuta en cada host. Se registra con step-ca, genera claves de servicio localmente, envía CSR al broker, instala los bundles devueltos y ejecuta hooks de recarga. |
| Esquemas JSON | broker.schema.json, agent.schema.json y policy.schema.json para validación en el editor. |
| Roles de Ansible | certplane_broker y certplane_agent para despliegue de extremo a extremo. |