Hoy veremos cmo desplegar Vaultwarden en Nanocl para recuperar el control de tus contraseas. Vaultwarden es una solucin de gestin de contraseas de codo abierto, ligera y compatible con las extensiones y aplicaciones de Bitwarden. Está escrita en Rust, ofrece una interfaz web y est diseada para autohospedaje, permitiendo almacenar contraseas, notas y otros datos sensibles de forma segura. Nanocl es una plataforma de orquestacin de contenedores que facilita gestionar y desplegar aplicaciones en contenedores en tu infraestructura, simplificando la administracin y escalado.

Sobre Q2BSTUDIO: Somos Q2BSTUDIO, una empresa de desarrollo de software especializada en aplicaciones a medida y software a medida, inteligencia artificial y ciberseguridad, con experiencia en servicios cloud AWS y Azure, servicios de inteligencia de negocio y soluciones como Power BI. Ofrecemos servicios de ia para empresas, agentes IA y automatizacin de procesos para ayudar a optimizar operaciones y proteger activos digitales. Si necesitas desarrollo a medida revisa nuestra p gina de desarrollo de aplicaciones y software multiplataforma y para soluciones cloud consulta Servicios cloud AWS y Azure.

Requisitos previos: Asegrate de tener Docker instalado en tu servidor. Sigue la gua oficial de instalacin de Docker para tu distribucin Linux. Para instalar Nanocl descarga el binario CLI con este comando: curl -fsSL https://download.next-hat.com/scripts/get-nanocl.sh | sh Luego crea el grupo nanocl e instala los servicios internos de Nanocl: sudo groupadd nanocl sudo usermod -aG nanocl $USER newgrp nanocl nanocl install Para ms detalles revisa la documentacin de Nanocl.

Recomendaciones de seguridad: Vaultwarden utiliza un contexto seguro para la Web Crypto API por lo que es recomendable configurar TLS/SSL. Puedes usar un certificado autofirmado para pruebas o un certificado de una CA reconocida. En esta gua explicamos cmo crear un certificado autofirmado bsico y otro ms avanzado para que sea de confianza en tus equipos.

Crear un certificado SSL autofirmado bsico: Puedes usar el job openssl-self-signed.yml disponible en el registro de Nanocl. Sustituye <tu-dominio> por el dominio donde alojars Vaultwarden: nanocl state apply -fs nr.next-hat.com/v0.17/openssl-self-signed.yml -- --domain <tu-dominio> Este job generar un certificado autofirmado y lo almacenar como un secreto de Nanocl llamado tls.<tu-dominio>.

Crear un certificado autofirmado avanzado y CA propia: Si quieres que las apps de escritorio y moviles confen en tu certificado, crea una Autoridad Certificadora propia, firma el certificado del servidor con esa CA e importa el certificado de la CA en los almacenes de confianza de tus sistemas. Ejemplo de comandos openssl: openssl genrsa -out myCA.key 4096 openssl req -x509 -new -nodes -key myCA.key -sha256 -days 3650 -out myCA.pem -subj /CN=Vaultwarden CA openssl genrsa -out server.key 2048 openssl req -new -key server.key -out server.csr -subj /CN=<tu-dominio> Crea un archivo san.cnf con subjectAltName que incluya el dominio e IP del servidor y firma el certificado: openssl x509 -req -in server.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out server.crt -days 825 -sha256 -extfile san.cnf -extensions v3_req Convierte la CA a formato DER para importarla en navegadores y sistemas: openssl x509 -outform der -in myCA.pem -out myCA.der

Subir el certificado a Nanocl: Crea un secreto TLS para que el proxy de Nanocl lo utilice: nanocl secret create tls.<tu-dominio> tls --certificate-path ./server.crt --certificate-key-path ./server.key Despus importa myCA.der en el almacn de confianza de tu sistema. Nota importante: solo importa una CA privada que controles por completo ya que otorgar confianza a una CA permite firmar certificados para cualquier dominio en ese sistema.

Aplicar el Statefile de Vaultwarden en Nanocl: Utiliza el Statefile vaultwarden.yml del registro de Nanocl. Sustituye <tu-dominio> por tu dominio y <tu-red> por la red de Nanocl a la que conectar el contenedor (por defecto All). Opciones de red: All enlaza el proxy a todas las direcciones IP del host, hacindolo accesible si se exponen puertos; Internal conecta solo al gateway interno de Nanocl, accesible desde la VPN configurada. Comando bsico: nanocl state apply -s nr.next-hat.com/v0.17/vaultwarden.yml -- --domain <tu-dominio> --secret-cert tls.<tu-dominio> Para almacenar los datos en una ruta concreta del host usa --data-path: nanocl state apply -s nr.next-hat.com/v0.17/vaultwarden.yml -- --domain <tu-dominio> --secret-cert tls.<tu-dominio> --data-path /ruta/a/tus/datos Consulta todas las opciones con nanocl state man -s nr.next-hat.com/v0.17/vaultwarden.yml Si quieres que Vaultwarden sea accesible solo via WireGuard tal como en mi gua previa, usa la red Internal: nanocl state apply -s nr.next-hat.com/v0.17/vaultwarden.yml -- --domain <tu-dominio> --secret-cert tls.<tu-dominio> --network Internal

Acceso a Vaultwarden: Si desplegaste en un dominio pblico abre https://<tu-dominio> en tu navegador. Si es local agrega la entrada en /etc/hosts: 127.0.0.1 <tu-dominio> y accede a https://<tu-dominio>. Veras una advertencia SSL si usaste el certificado bsico; si importaste la CA privada reinicia el navegador para que recargue el almacn de confianza. Crea una cuenta y luego descarga la aplicacin o extensin compatible con Bitwarden, elige la opcin Self-hosted e introduce tu dominio.

Prximos pasos para mayor operatividad y seguridad: Configura copias de seguridad regulares fuera del host de la carpeta de datos con jobs programados de Nanocl. Monitoriza los logs del contenedor para detectar intentos de acceso fallidos. Mantn actualizadas las imgenes de Nanocl y Vaultwarden re-aplicando el estado periodicamente. Para reforzar la seguridad y pruebas de intrusin considera servicios profesionales de ciberseguridad y pentesting como los que ofrecemos en Q2BSTUDIO, donde ayudamos a proteger despliegues autohospedados y arquitecturas cloud.

Conclusin: Has desplegado Vaultwarden en Nanocl con TLS usando un certificado autofirmado rpido o una CA privada de confianza, manteniendo control total sobre tus credenciales y compatibilidad con clientes Bitwarden oficiales. Recuerda que una buena prctica es combinar despliegues a medida, medidas de ciberseguridad y soluciones cloud gestionadas para garantizar disponibilidad y confidencialidad; en Q2BSTUDIO podemos asesorarte en todo el proceso de despliegue, seguridad y escalado.