bms
/
step-ca
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

init

Browse Source
main
Badanin Maksim 2 years ago
parent ebb2ac517a
commit 2a7282e7cc
1 changed files with 44 additions and 1 deletions
Show Stats Download Patch File Download Diff File

45
README.md
Unescape Escape View File

@ -14,6 +14,19 @@ DOMAIN_NAME=<CHANGE> # имя домена хоста на который бу
STEPCA_NAME=<CHANGE> # имя текущего экземпляра. Например: CORP LTD STEPCA_NAME=<CHANGE> # имя текущего экземпляра. Например: CORP LTD
``` ```
#### Параметры в docker-compose.yml
```
DOCKER_STEPCA_INIT_NAME # имя текущего экземпляра
DOCKER_STEPCA_INIT_DNS_NAMES # доменны именя, на которых будут приниматься запросы (желарельно выключить localhost для локального администрирования)
DOCKER_STEPCA_INIT_ACME # выключить режим выпуска по протоколу ACME
DOCKER_STEPCA_INIT_ADDRESS # адрес:порт на котором будут прослушиваться запросы (можно указать только порт, например - :443)
DOCKER_STEPCA_INIT_REMOTE_MANAGEMENT # включить возможно удаленного администрирования экземпляра, если выключего, команды принимаются только из контейнера
DOCKER_STEPCA_INIT_PROVISIONER_NAME # задается имя для удаленного администрирования (по умолчанию admin)
DOCKER_STEPCA_INIT_PASSWORD # задается пароль на текущий экземпляр, если не указан, будет сгенерирован автоматически
```
#### Запуск #### Запуск
```bash ```bash
@ -29,7 +42,37 @@ docker exec step-ca step ca provisioner update acme --force-cn
docker compose restart docker compose restart
``` ```
#### Полезные ссылки ### Примеры комманд
- #### проверка доступности
запускается на том же хосте, где запущен контейнер, в случае если включено удаленное администрирование
```
CA_FP=$(docker exec step-ca step certificate fingerprint certs/root_ca.crt)
step ca bootstrap --ca-url https://$(hostname -f) --fingerprint $CA_FP --install
curl https://$(hostname -f)/health
```
- #### политика выпуска сертификаторв
задает политики выпуска сертификатов, первое правило исключает блокировку учетной записи `step` при локальном администрировании
```
step ca policy authority x509 allow dns step
step ca policy authority x509 allow dns "*.example.com"
```
- #### добавить forceCN=true для того, чтобы работал NPM
```
step ca provisioner update acme --force-cn --password-file data/secrets/password --admin-subject=step --admin-provisioner=admin
```
- #### пример выпуска/перевыпуска сертификата
```
step ca certificate test.badms.ru test.crt test.key --password-file data/secrets/password --provisioner admin --force
```
### Полезные ссылки
[https://ypbind.de/maus/notes/real_life_step-ca_with_multiple_users/](https://ypbind.de/maus/notes/real_life_step-ca_with_multiple_users/) - Running a private CA using step-ca in a multi-admin environment [https://ypbind.de/maus/notes/real_life_step-ca_with_multiple_users/](https://ypbind.de/maus/notes/real_life_step-ca_with_multiple_users/) - Running a private CA using step-ca in a multi-admin environment
[https://smallstep.com/docs/step-ca/installation/](https://smallstep.com/docs/step-ca/installation/) - Установка сервера/клиента [https://smallstep.com/docs/step-ca/installation/](https://smallstep.com/docs/step-ca/installation/) - Установка сервера/клиента

Write Preview
Loading…
Cancel
Save