Saltar al contenido principal

Documentation Index

Fetch the complete documentation index at: https://certplane.kippel.org/llms.txt

Use this file to discover all available pages before exploring further.

El archivo de política es el documento de control central en Certplane. Define qué perfiles de certificado existen y qué hosts pueden solicitar cada perfil. Cada solicitud de certificado que recibe el broker se evalúa contra este archivo: si un host o perfil no está declarado aquí, la solicitud se rechaza antes de cualquier interacción ACME.

Dónde reside el archivo de política

El broker lee el archivo de política desde la ruta definida en broker.yml bajo policy.path:
broker.yml
policy:
  path: /etc/certplane/policy.yml
  watch: true
policy.path es un campo obligatorio. El broker se negará a iniciar si no se define.

Secciones de nivel superior

El archivo de política tiene dos secciones de nivel superior:
SecciónPropósito
profilesPolíticas de certificado con nombre que definen qué tipo de cert se emite y cómo
hostsEntradas de host registradas que asocian el CN de identidad de un host con los perfiles que puede solicitar
Ambas secciones son obligatorias y deben contener al menos una entrada cada una.

Ejemplo mínimo funcional

El siguiente es un archivo de política completo y válido con un perfil y un host:
policy.yml
version: 1

profiles:
  public_edge_main:
    cert_type: wildcard
    dns_names:
      - "*.example.com"
    acme_challenge: dns-01
    renew_before: 720h

hosts:
  edge01:
    identity: edge01.h.int.example.com
    profiles:
      - public_edge_main

Recargas automáticas con policy.watch

Define watch: true en la configuración del broker y este observa el archivo de política mediante eventos del sistema de archivos. Cuando guardas un archivo de política actualizado, el broker lo recarga en su sitio sin requerir reinicio.
broker.yml
policy:
  path: /etc/certplane/policy.yml
  watch: true
Si watch se omite o se define en false, debes reiniciar el broker para que los cambios en la política surtan efecto.

Aplicar cambios en la política

1

Edita el archivo de política

Añade, elimina o modifica perfiles y entradas de host en policy.yml.
2

Guarda el archivo

Escribe el archivo en disco. Si watch: true está definido, el broker recoge el cambio inmediatamente.
3

Reinicia el broker si watch está desactivado

Si no usas watch: true, reinicia el proceso del broker para cargar la política actualizada.
Un host cuyo CN de identidad no esté listado en la sección hosts será rechazado por el broker independientemente de lo que solicite el agente. Añadir un host a la sección hosts es un prerrequisito para que reciba cualquier certificado.

Próximos pasos

  • Perfiles — referencia completa de campos para definir perfiles de certificado
  • Hosts — referencia completa de campos para registrar hosts y controlar el acceso a perfiles