Siehe auch [[CA]], [[PKI]], [[OpenSSL]], [[x509]]

<code>
mkdir -p ~/step-ca/{config,secrets,data}
cd ~/step-ca
</code>

<code>
# docker-compose.yml
version: '3.7'

services:
  step-ca:
    image: smallstep/step-ca
    container_name: step-ca
    restart: unless-stopped
    ports:
      - "443:443"
      - "9000:9000" # optional: Web UI
    volumes:
      - ./config:/home/step/config
      - ./secrets:/home/step/secrets
      - ./data:/home/step/db
    environment:
      - DOCKER_STEPCA_INIT_NAME=My Root CA
      - DOCKER_STEPCA_INIT_DNS=localhost,step-ca.local,ca.example.local
      - DOCKER_STEPCA_INIT_PASSWORD=password
</code>

CA initialisieren
<code>
docker compose up --no-start
docker compose run step-ca step ca init \
  --name "My Root CA" \
  --dns "localhost,step-ca.local,ca.example.local" \
  --address ":443" \
  --provisioner "admin@example.com"
</code>

CA starten
<code>
docker compose up -d
</code>

Zertifikate manuell über die step CLI ausstellen:
<code>
step ca certificate "client1.local" client1.crt client1.key
</code>

Zertifikat revoken
<code>
step ca revoke client1.crt
</code>

Die CRL wird automatisch generiert und ist verfügbar unter:
<code>
https://step-ca.local/crl
</code>

=====Links=====

  * [[https://smallstep.com/docs/tutorials/docker-tls-certificate-authority/|Step CA (Smallstep)]]