Devenez votre propre autorité de certification 🔏 step-ca [Docker, Proxmox, ACME, TLS, X.509, SSH]

step-ca est une autorité de certification auto-hébergée et open-source qui permet de gérer les certificats TLS et SSH de manière sécurisée et automatisée. Il facilite le déploiement et la gestion des infrastructures PKI dans les environnements autohébergés/homelabs.
Déployable avec Docker, il permet de générer des certificats TLS pour les serveurs Proxmox et de configurer ACME.
Un outil puissant pour sécuriser vos infrastructures et automatiser la gestion des certificats.


📱 Suivez moi ! 💻
►https://lhub.to/GuiPoM


🔗 Les liens et commandes 🔗
► Documentation step-ca: https://smallstep.com/docs/step-ca/
► Documentation step-cli: https://smallstep.com/docs/step-cli/
► Image docker step-ca: https://hub.docker.com/r/smallstep/st...
► ... dans les chapitres de la vidéo !


📃 Sommaire 📃
00:00 ⚠️ Attention, vous êtes en danger ⚠️
01:13 C'est très différent de la mise en place d'un reverse proxy, même si les deux sujets peuvent, si nécessaire, se combiner
02:25 Une manière simple de générer des certificats en déployant votre propre autorité de certification locale
03:30 smallstep: les projets opensource step-ca et step-cli
05:15 🤯Attention, le sujet est un peu complexe à présenter et à suivre
08:04 Comprendre le problème: les risques d'un certificat non valide et les raisons de la non validité
10:50 L'écran d'avertissement de votre navigateur et les détails de l'erreur associée
13:45 Dans Proxmox, le certificat est automatiquement généré et la résolution du problème serait très simple: enregistrer le certificat racine dans votre navigateur
15:25 Une machine virtuelle que j'ai dédié à step-ca, le serveur qui héberge l'autorité de certification (CA)
16:22 La gestion locale DNS et DHCP pour prendre le contrôle de vos serveurs DNS chez vous
18:45 La mise en place de cette machine n'est pas couverte par la vidéo. J'ai personnellement fait le choix d'un conteneur (LXC) installé en Debian 12, avec docker. J'ai ajouté portainer pour la lisibilité.
21:13 L'image docker de step-ca et la documentation associée
23:58 Mon docker compose configuré pour mes besoins
27:13 Les logs du conteneur et les informations intéressantes qui y figurent
29:55 Le contenu du répertoire de step-ca: certificats racine et intermédiaire, configuration, secrets .. on y ajoute les infos administrative
31:07 On vérifier si le serveur step-ca fonctionne, en testant la ressource /health
31:58 Installer la ligne de commande sur la ou les machines de votre choix
36:42 Des certificats a durée limité: 1 journée. Vous pouvez changer la configuration du CA
38:55 On génère manuellement un certificat pour la machine Proxmox et on le charge dans le serveur
42:40 Le certificat lui n'est pas reconnu comme valide. Il reste à enregistrer l'autorité de certification racine et intermédiaire dans vos navigateurs
44:50 Petit soucis de cette vidéo: le navigateur refuse de me reconnaître le certificat valide pour mon common name local, mais le reconnait pour mon adresse IP
46:13 Et maintenant le plus intéressant dans l'histoire: utilise de ACME pour la génération et le renouvellement automatique de vos certificats
50:40 On retente le certificat généré mais avec pve.home au lieu de pve.local. Et ça fonctionne dans ce cas là.
54:40 J'espère que cette vidéo vous aura permis de mieux comprendre comment les autorités de certification vous fournissent vos certificats en vérifiant votre authenticité