certplane-broker en un host. Referencia completa del esquema: Configuración del broker. Para automatizarlo con Ansible: guía de roles de Ansible.
Requisitos previos
- Un
step-caaccesible (emite las identidades — el broker solo necesita su bundle de CA). - Certificado y clave TLS para la API mTLS del broker.
- Bundle de CA que firma los certificados de identidad de tus agentes (raíz o intermedia de
step-ca). - Email de cuenta ACME — el broker crea la cuenta en el primer uso.
- Credenciales del proveedor DNS para
dns-01, si vas a emitir wildcards. Soportados:cloudflare,httpreq.
Layout en disco
Layout recomendado, igual al del rolecertplane_broker:
certplane es dueño de /var/lib/certplane y de la clave de cuenta ACME.
Configuración mínima
/etc/certplane/broker.yml
schemas/broker.schema.json.
CLI
El binario es una app Cobra con flag global-c / --config y subcomandos:
| Comando | Propósito |
|---|---|
certplane-broker -c <config> serve | Ejecuta la API HTTPS/mTLS. |
certplane-broker -c <config> policy validate --policy <ruta> | Compila y valida un archivo de política. Imprime el hash y los conteos de perfiles e identidades. |
certplane-broker -c <config> certs list | Vuelca los bundles cacheados como JSON. |
certplane-broker -c <config> audit tail [--limit N] | Imprime eventos de auditoría recientes como JSON Lines. |
-c es obligatorio para todo subcomando.
Unidad systemd
El rolecertplane_broker incluye esta unidad. Manualmente:
/etc/systemd/system/certplane-broker.service
Verifica que está corriendo
/readyz devuelve 503 policy not loaded hasta que la política está cargada.
El endpoint de emisión (POST /v1/certificates) requiere un certificado cliente válido y normalmente solo lo invoca certplane-agent.
Recarga en caliente de la política
policy.watch: true recarga el archivo cuando cambia en disco. Sin reinicio. El broker registra el nuevo hash, útil para correlacionar con el log de auditoría.