Es war am Ende eine härtere Nuss, als gedacht, aber mein Heimnetz hat jetzt eine eigene CA auf Basis von #stepca , #caddy läuft als Reverse Proxy und wickelt das Zertifikatshandling automatisiert für die im #homelab laufenden Dienste ab.
Eine Grundlage, die ich schon länger habe wollte, aber mir nie die Zeit genommen habe, tiefer einzusteigen und das einmal ordentlich aufzusetzen.
Next up: Backups machen und dokumentieren, was ich getan hab.
@Larvitz How is Step CA? Are you coming from another CA solution?
Been thinking about running #stepca in my #kubernetes cluster, but have been apprehensive because of how many features seem to be gated behind smallstep's proprietary version. Would love to have this integrated with #certmanager and using the #tpm on my nodes. Was going to do a rearchitecting of my entire #auth and #cryptography stack when I switch from the deprecated #Ingress API to the #GatewayAPI
What a project. Did configure StepCA in my home-lab with a real physical HSM for the CA's private key. Using a SmartcardHSM (https://www.smartcard-hsm.com) from CardContact Systems.
Now I have acme (automated cert provisioning) working internally as long as the HSM is plugged into my server.
All running in an isolated FreeBSD 15-RELEASE jail (StepCA compiled from source with added PCSC-Lite support and usb device passed through by devfs rules).
Yay! It works!
#freebsd #stepca #devops #acme #certificates #tls #smartcard #hsm
When all parts come together ;) I now have S3 compatible storage with #garage in my homelab, using #nginx as reverse proxy and secured with a certificate from my own #StepCA based CA (Certificate Authority) that gets auto-renewed by #certbot. And this all works without any internet connection, as I also have a DNS server for my home network with the correct CNAME entry for s3.
🤔 Laut Übersicht unterstützen sowohl #Nitrokey3 also auch #NitrokeyHSM2 #PKCS11. Auf denm verlinkten Datenblättern stehen auch vergleichbare Zeiten für Signaturen
Brauche ich nun für eine #homelab #stepca (smallstep-ca) den HSM key oder reicht der normale Key?
(due to a snafu, this is a re-post)
New blog post! After reading @mmeier's blog post about monitoring his Kubernetes cluster certificates, I decided to take a look at how this is done with Talos, and learned a lot from it. You can read my solution in my blog post, as well as Michael's (which I link in my post, and also below in this thread.
#HomeLab #TalosLinux #StepCA #Certificates #Kubernetes #Blog @homelab
https://mteixeira.wordpress.com/2025/12/07/monitoring-the-kubernetes-certificates-on-a-talos-cluster/
I am also a bit proud that I managed to replicate my own little letsencrypt for my homelab using #stepca [1]. My homelab machines also get and renew their certificates with certbot from my own CA (Certificate Authority) automagically. I just checked and yes, they renewed a few days ago without any problem. Yay!
[1] https://jan.wildeboer.net/2025/07/letsencrypt-homelab-stepca/
So, jetzt hat es großteils geklappt! 🙂
Unser #RPi4 ist stabil als Controller im Heimnetzwerk integriert:
▪️ DHCP bleibt beim Router
▪️ RPi OS Lite mit #Docker
▪️ Adblock & DNS per #Pihole
▫️ Nutzerverwaltung mit #OpenLDAP kommt noch
Leider konnte ich #StepCA vermutlich aufgrund der #arm64 Architektur nicht ans Laufen kriegen. Das landet nun auf unserem #Homeserver ...
Projekt #Homeserver macht wieder einen kleinen Schritt voran!
In Kürze wird ein ungenutzter #RPi4 zum "LAN-Controller" für grundlegende Aufgaben werden:
- RPi OS (auf SSD) mit #Docker
- #PortainerCE für's Management
- #Pihole für DNS, DHCP & Adblock
- #stepca für internes SSL/TLS
- #openldap zur Nutzerverwaltung
Für unseren Use-case mit max. 100 Geräten und ohne komplexeren Aufbau sollte das absolut ausreichen.
Was meint ihr? 🤓
der Marko 🚲🏃♂️
Sam Lehman 
Larvitz 
Jan Wildeboer 😷
André
Mauricio Teixeira🐧
Frank B