Saltar al contenido principal

Documentation Index

Fetch the complete documentation index at: https://certplane.kippel.org/llms.txt

Use this file to discover all available pages before exploring further.

Los perfiles son plantillas con nombre en el archivo de política que definen qué tipo de certificado se emite, qué nombres DNS se cubren y cómo se realizan los desafíos ACME. Cada perfil es referenciado por nombre desde las entradas de host, y un host solo puede solicitar perfiles a los que se le haya otorgado acceso explícitamente. Puedes definir tantos perfiles como necesites para representar diferentes clases de certificado en tu infraestructura.

Campos del perfil

cert_type
string
requerido
El tipo de certificado a emitir.
  • wildcard — emite un certificado wildcard único (por ejemplo, *.example.com)
  • multi — emite un certificado con múltiples Subject Alternative Names explícitos según lo listado en dns_names
dns_names
string[]
requerido
Los nombres DNS a incluir en el certificado. Proporciona al menos una entrada.Para perfiles wildcard esto suele ser un único nombre wildcard como *.example.com. Para perfiles multi, lista cada SAN que el certificado debería cubrir.
acme_challenge
string
requerido
El tipo de desafío ACME que el broker usa para demostrar el control del dominio.
  • dns-01 — el broker crea un registro TXT en tu proveedor DNS. Requerido para certificados wildcard.
  • http-01 — el broker sirve un token sobre HTTP en el puerto 80. Solo válido para nombres no wildcard.
ttl
string
predeterminado:"2160h"
La vida útil solicitada del certificado. Acepta cadenas de duración Go como 2160h (90 días) o 4320h (180 días).
renew_before
string
predeterminado:"720h"
Con cuánta antelación renueva el broker un certificado en caché. El broker comprueba si queda menos de esta duración antes de que expire el certificado, y si es así, solicita uno nuevo. Acepta cadenas de duración Go como 720h (30 días).
El campo ttl es ignorado por Let’s Encrypt. Let’s Encrypt siempre emite certificados con una vida útil de 90 días, independientemente de lo que solicites. El campo es útil si usas una CA ACME privada que respete el TTL solicitado.

Ejemplos

profiles:
  public_edge_main:
    cert_type: wildcard
    dns_names:
      - "*.example.com"
    acme_challenge: dns-01
    renew_before: 720h
Define renew_before en al menos 720h (30 días) cuando uses Let’s Encrypt. Los certificados de Let’s Encrypt son válidos durante 90 días, y renovar con al menos 30 días restantes te da una ventana cómoda para recuperarte de fallos de renovación antes de que el certificado expire.