hosts en la política y desde certificates[].profile en agent.yml.
Campos
| Campo | Tipo | Obligatorio | Notas |
|---|---|---|---|
type | enum: wildcard, multi_san | sí | |
dns_names | string[] | sí | DNS permitidos. No vacío. |
acme.challenge | enum: dns-01, http-01 | sí | Wildcards exigen dns-01. |
acme.credentials | string | para dns-01 | Referencia de secreto resuelta por el provider configurado. |
renew_before | duration | no (720h) | Cuándo considera el broker que el certificado cacheado debe renovarse. |
additionalProperties: false).
type: wildcard
Para certificados *.zona.
dns_namesdebe contener exactamente una entrada de la forma*.<zona>.acme.challengedebe serdns-01.acme.credentialsobligatorio y resuelve al credencial del provider DNS.
type: multi_san
Para certificados con lista fija de SAN.
dns_nameslista cada SAN que el perfil puede incluir.acme.challengepuede serdns-01ohttp-01.acme.credentialsobligatorio paradns-01.- Las SAN del CSR del agente deben ser subconjunto de
dns_names.
renew_before
Es la ventana de renovación del broker. Cuando el agente pide un certificado cacheado y al cacheado le queda menos de renew_before, el broker pide uno nuevo a ACME en lugar de devolver el cache. El agente también tiene su propio renew_before en agent.yml — han de ser parecidos.
Valor típico: 720h (30 días) con certificados Let’s Encrypt de 90 días.
Referencias de credenciales
La cadenaacme.credentials es opaca para el compilador de política. La interpreta el provider de secretos en broker.yml:
| Provider | Interpretación de acme.credentials |
|---|---|
env | Nombre de variable de entorno. |
file | Ruta de archivo en el broker. |
vault / openbao | Ruta en Vault bajo mount_path. |