Description
step-ca est une autorité de certification auto-hébergée et open-source qui permet de gérer les certificats TLS et SSH de manière sécurisée et automatisée. Il facilite le déploiement et la gestion des infrastructures PKI dans les environnements autohébergés/homelabs. Déployable avec Docker, il permet de générer des certificats TLS pour les serveurs Proxmox et de configurer ACME. Un outil puissant pour sécuriser vos infrastructures et automatiser la gestion des certificats. 📱 Suivez moi ! 💻 ►lhub.to/GuiPoM 🔗 Les liens et commandes 🔗 ► Documentation step-ca: smallstep.com/docs/step-ca/ ► Documentation step-cli: smallstep.com/docs/step-cli/ ► Image docker step-ca: hub.docker.com/r/smallstep/step-ca ► ... dans les chapitres de la vidéo ! 📃 Sommaire 📃 ⚠️ Attention, vous êtes en danger ⚠️ C'est très différent de la mise en place d'un reverse proxy, même si les deux sujets peuvent, si nécessaire, se combiner Une manière simple de générer des certificats en déployant votre propre autorité de certification locale smallstep: les projets opensource step-ca et step-cli 🤯Attention, le sujet est un peu complexe à présenter et à suivre Comprendre le problème: les risques d'un certificat non valide et les raisons de la non validité L'écran d'avertissement de votre navigateur et les détails de l'erreur associée Dans Proxmox, le certificat est automatiquement généré et la résolution du problème serait très simple: enregistrer le certificat racine dans votre navigateur Une machine virtuelle que j'ai dédié à step-ca, le serveur qui héberge l'autorité de certification (CA) La gestion locale DNS et DHCP pour prendre le contrôle de vos serveurs DNS chez vous La mise en place de cette machine n'est pas couverte par la vidéo. J'ai personnellement fait le choix d'un conteneur (LXC) installé en Debian 12, avec docker. J'ai ajouté portainer pour la lisibilité. L'image docker de step-ca et la documentation associée Mon docker compose configuré pour mes besoins Les logs du conteneur et les informations intéressantes qui y figurent Le contenu du répertoire de step-ca: certificats racine et intermédiaire, configuration, secrets .. on y ajoute les infos administrative On vérifier si le serveur step-ca fonctionne, en testant la ressource /health Installer la ligne de commande sur la ou les machines de votre choix Des certificats a durée limité: 1 journée. Vous pouvez changer la configuration du CA On génère manuellement un certificat pour la machine Proxmox et on le charge dans le serveur Le certificat lui n'est pas reconnu comme valide. Il reste à enregistrer l'autorité de certification racine et intermédiaire dans vos navigateurs Petit soucis de cette vidéo: le navigateur refuse de me reconnaître le certificat valide pour mon common name local, mais le reconnait pour mon adresse IP Et maintenant le plus intéressant dans l'histoire: utilise de ACME pour la génération et le renouvellement automatique de vos certificats On retente le certificat généré mais avec pve.home au lieu de pve.local. Et ça fonctionne dans ce cas là. J'espère que cette vidéo vous aura permis de mieux comprendre comment les autorités de certification vous fournissent vos certificats en vérifiant votre authenticité