(identity.key, identity.cert) que el agente usa en cada llamada al broker.
Qué hace el registro
certplane-agent -c <config> enroll:
- Toma un lock en
<state_dir>/agent.lock. - Se niega a correr si
identity.certya existe. - Genera una clave ECDSA P-256 en
identity.key(modo0600) si falta; la reutiliza si existe. - Lee el token de arranque desde
identity.bootstrap_token. - Construye un CSR con
CN = identity.namey lo envía astep-caenidentity.step_ca.url, verificando el servidor conidentity.step_ca.fingerprintoidentity.step_ca.root_ca_bundle. - Escribe el certificado devuelto en
identity.certy borra el archivo del token.
enroll desde Ansible — reintentar sobre un host ya registrado falla rápido.
Genera un token de arranque
En el host destep-ca:
identity.name en la configuración del agente. Los tokens son de un solo uso y de corta duración.
Coloca el token en el host
no_log: true solo si falta el certificado de identidad.
Configuración de identidad del agente
Campos mínimos para el registro:step_ca.fingerprint o step_ca.root_ca_bundle. Esquema completo en Configuración del agente.
Ejecuta el registro
identity.crt y borra el token. El host queda listo para el bucle de renovación.
Valida la configuración sin registrar
check valida el YAML, aplica defaults, ejecuta la misma lógica Validate() que usa el agente al arrancar y confirma que los archivos existen. No contacta step-ca ni al broker.
Solución de problemas
identity cert already exists at ...
identity cert already exists at ...
El registro es one-shot. Para repetirlo, borra
identity.cert y identity.key, genera un token nuevo y vuelve a ejecutar enroll.reading bootstrap token: no such file or directory
reading bootstrap token: no such file or directory
Falta el archivo de token en
identity.bootstrap_token. En Ansible, suele significar que no se definió certplane_agent_bootstrap_token para este host.bootstrap token is empty
bootstrap token is empty
El archivo existe pero solo contiene espacios. Regenera con
step ca token ....el registro funcionó pero el siguiente run falla autenticándose al broker
el registro funcionó pero el siguiente run falla autenticándose al broker
El
server.mtls.agent_ca_bundle del broker debe confiar en la CA que firmó identity.cert. Si rotaste la intermedia de step-ca tras desplegar el broker, redespliega el bundle.Siguiente: ejecutar el agente
Ejecutar el agente cubre el subcomandorun, el timer de systemd y el modelo de renovación.