Saltar al contenido principal

Documentation Index

Fetch the complete documentation index at: https://certplane.kippel.org/llms.txt

Use this file to discover all available pages before exploring further.

Cada host que deba estar autorizado para solicitar certificados debe tener una entrada en la sección hosts del archivo de política. Una entrada asocia el CN de identidad del host —tal como lo emite step-ca— con la lista de perfiles que ese host puede solicitar. El broker evalúa esta asociación en cada solicitud entrante, por lo que añadir o eliminar un host de la sección hosts surte efecto en cuanto la política se recarga.

Campos de entrada de host

identity
string
requerido
El Common Name (CN) del certificado de identidad del host tal como lo emite step-ca. El broker extrae el CN del certificado cliente mTLS presentado durante la solicitud y lo compara con este valor. La coincidencia debe ser exacta.
profiles
string[]
requerido
La lista de nombres de perfil que este host puede solicitar. Los nombres de perfil deben coincidir con una clave definida en la sección profiles del mismo archivo de política. Cualquier perfil no listado aquí se rechaza para este host, incluso si el perfil existe en la política.

Clave de host vs campo identity

La clave que usas para cada entrada bajo hosts es una etiqueta legible que sirve para tu propia referencia. El campo identity es la identidad de máquina contra la que el broker realmente valida. Son dos valores distintos:
CampoFunciónEjemplo
Clave de host (clave YAML)Etiqueta humana para la entradapvvl-edge01
identityCN del certificado step-capvvl-edge01.h.int.example.com
El broker ignora por completo la clave de host durante la validación de la solicitud. Solo el valor identity se compara con el CN del certificado presentado.

Ejemplo: un host autorizado para múltiples perfiles

policy.yml
hosts:
  pvvl-edge01:
    identity: pvvl-edge01.h.int.example.com
    profiles:
      - public_edge_main
      - api_services
En este ejemplo, el host que presenta un certificado con CN pvvl-edge01.h.int.example.com puede solicitar el perfil public_edge_main o el api_services. Cualquier solicitud para otro nombre de perfil se rechaza.

Comportamiento de rechazo

El broker rechaza una solicitud en dos casos:
  • Identidad desconocida: el CN del certificado mTLS presentado no coincide con el campo identity de ninguna entrada en hosts. El broker cierra la conexión sin emitir un certificado.
  • Perfil no autorizado: la identidad del host se reconoce, pero el perfil solicitado no está listado en el array profiles de ese host. El broker devuelve un error y no contacta con el proveedor ACME.
Ninguno de los rechazos produce un certificado ni consume una ranura del límite de tasa ACME.
El campo identity distingue mayúsculas y minúsculas y debe coincidir exactamente con el CN del certificado step-ca del host, incluyendo profundidad de subdominio y sufijo de dominio. Una diferencia de un solo carácter causa que se rechace cada solicitud de ese host.