Desplegar Vaultwarden en Nanocl

Guía para desplegar Vaultwarden en Nanocl con TLS y CA privada, manteniendo control total de contraseñas y compatibilidad Bitwarden.

17 sept 2025 • 5 min de lectura • Equipo Q2BSTUDIO

Inteligencia-Artificial-

Hoy veremos cmo desplegar Vaultwarden en Nanocl para recuperar el control de tus contraseas. Vaultwarden es una solucin de gestin de contraseas de codo abierto, ligera y compatible con las extensiones y aplicaciones de Bitwarden. Está escrita en Rust, ofrece una interfaz web y est diseada para autohospedaje, permitiendo almacenar contraseas, notas y otros datos sensibles de forma segura. Nanocl es una plataforma de orquestacin de contenedores que facilita gestionar y desplegar aplicaciones en contenedores en tu infraestructura, simplificando la administracin y escalado.

Sobre Q2BSTUDIO: Somos Q2BSTUDIO, una empresa de desarrollo de software especializada en aplicaciones a medida y software a medida, inteligencia artificial y ciberseguridad, con experiencia en servicios cloud AWS y Azure, servicios de inteligencia de negocio y soluciones como Power BI. Ofrecemos servicios de ia para empresas, agentes IA y automatizacin de procesos para ayudar a optimizar operaciones y proteger activos digitales. Si necesitas desarrollo a medida revisa nuestra p gina de desarrollo de aplicaciones y software multiplataforma y para soluciones cloud consulta Servicios cloud AWS y Azure.

Requisitos previos: Asegrate de tener Docker instalado en tu servidor. Sigue la gua oficial de instalacin de Docker para tu distribucin Linux. Para instalar Nanocl descarga el binario CLI con este comando: curl -fsSL https://download.next-hat.com/scripts/get-nanocl.sh | sh Luego crea el grupo nanocl e instala los servicios internos de Nanocl: sudo groupadd nanocl sudo usermod -aG nanocl $USER newgrp nanocl nanocl install Para ms detalles revisa la documentacin de Nanocl.

Recomendaciones de seguridad: Vaultwarden utiliza un contexto seguro para la Web Crypto API por lo que es recomendable configurar TLS/SSL. Puedes usar un certificado autofirmado para pruebas o un certificado de una CA reconocida. En esta gua explicamos cmo crear un certificado autofirmado bsico y otro ms avanzado para que sea de confianza en tus equipos.

Crear un certificado SSL autofirmado bsico: Puedes usar el job openssl-self-signed.yml disponible en el registro de Nanocl. Sustituye <tu-dominio> por el dominio donde alojars Vaultwarden: nanocl state apply -fs nr.next-hat.com/v0.17/openssl-self-signed.yml -- --domain <tu-dominio> Este job generar un certificado autofirmado y lo almacenar como un secreto de Nanocl llamado tls.<tu-dominio>.

Crear un certificado autofirmado avanzado y CA propia: Si quieres que las apps de escritorio y moviles confen en tu certificado, crea una Autoridad Certificadora propia, firma el certificado del servidor con esa CA e importa el certificado de la CA en los almacenes de confianza de tus sistemas. Ejemplo de comandos openssl: openssl genrsa -out myCA.key 4096 openssl req -x509 -new -nodes -key myCA.key -sha256 -days 3650 -out myCA.pem -subj /CN=Vaultwarden CA openssl genrsa -out server.key 2048 openssl req -new -key server.key -out server.csr -subj /CN=<tu-dominio> Crea un archivo san.cnf con subjectAltName que incluya el dominio e IP del servidor y firma el certificado: openssl x509 -req -in server.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out server.crt -days 825 -sha256 -extfile san.cnf -extensions v3_req Convierte la CA a formato DER para importarla en navegadores y sistemas: openssl x509 -outform der -in myCA.pem -out myCA.der

Subir el certificado a Nanocl: Crea un secreto TLS para que el proxy de Nanocl lo utilice: nanocl secret create tls.<tu-dominio> tls --certificate-path ./server.crt --certificate-key-path ./server.key Despus importa myCA.der en el almacn de confianza de tu sistema. Nota importante: solo importa una CA privada que controles por completo ya que otorgar confianza a una CA permite firmar certificados para cualquier dominio en ese sistema.

Aplicar el Statefile de Vaultwarden en Nanocl: Utiliza el Statefile vaultwarden.yml del registro de Nanocl. Sustituye <tu-dominio> por tu dominio y <tu-red> por la red de Nanocl a la que conectar el contenedor (por defecto All). Opciones de red: All enlaza el proxy a todas las direcciones IP del host, hacindolo accesible si se exponen puertos; Internal conecta solo al gateway interno de Nanocl, accesible desde la VPN configurada. Comando bsico: nanocl state apply -s nr.next-hat.com/v0.17/vaultwarden.yml -- --domain <tu-dominio> --secret-cert tls.<tu-dominio> Para almacenar los datos en una ruta concreta del host usa --data-path: nanocl state apply -s nr.next-hat.com/v0.17/vaultwarden.yml -- --domain <tu-dominio> --secret-cert tls.<tu-dominio> --data-path /ruta/a/tus/datos Consulta todas las opciones con nanocl state man -s nr.next-hat.com/v0.17/vaultwarden.yml Si quieres que Vaultwarden sea accesible solo via WireGuard tal como en mi gua previa, usa la red Internal: nanocl state apply -s nr.next-hat.com/v0.17/vaultwarden.yml -- --domain <tu-dominio> --secret-cert tls.<tu-dominio> --network Internal

Acceso a Vaultwarden: Si desplegaste en un dominio pblico abre https://<tu-dominio> en tu navegador. Si es local agrega la entrada en /etc/hosts: 127.0.0.1 <tu-dominio> y accede a https://<tu-dominio>. Veras una advertencia SSL si usaste el certificado bsico; si importaste la CA privada reinicia el navegador para que recargue el almacn de confianza. Crea una cuenta y luego descarga la aplicacin o extensin compatible con Bitwarden, elige la opcin Self-hosted e introduce tu dominio.

Prximos pasos para mayor operatividad y seguridad: Configura copias de seguridad regulares fuera del host de la carpeta de datos con jobs programados de Nanocl. Monitoriza los logs del contenedor para detectar intentos de acceso fallidos. Mantn actualizadas las imgenes de Nanocl y Vaultwarden re-aplicando el estado periodicamente. Para reforzar la seguridad y pruebas de intrusin considera servicios profesionales de ciberseguridad y pentesting como los que ofrecemos en Q2BSTUDIO, donde ayudamos a proteger despliegues autohospedados y arquitecturas cloud.

Conclusin: Has desplegado Vaultwarden en Nanocl con TLS usando un certificado autofirmado rpido o una CA privada de confianza, manteniendo control total sobre tus credenciales y compatibilidad con clientes Bitwarden oficiales. Recuerda que una buena prctica es combinar despliegues a medida, medidas de ciberseguridad y soluciones cloud gestionadas para garantizar disponibilidad y confidencialidad; en Q2BSTUDIO podemos asesorarte en todo el proceso de despliegue, seguridad y escalado.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

Inteligencia artificial

Agentes de IA, chatbots y asistentes inteligentes que automatizan tareas y atienden a tus clientes 24/7 para mejorar la eficiencia de tu negocio.

Más info

Desarrollo de software

Aplicaciones web, móviles y de escritorio, intranets, e-commerce, SaaS y plataformas de gestión diseñadas para las necesidades concretas de tu empresa.

Más info

Servicios cloud

Migración, infraestructura, hosting gestionado, alta disponibilidad y seguridad en Microsoft Azure y Amazon Web Services para que tu negocio escale sin límites.

Más info

Ciberseguridad y pentesting

Auditorías de seguridad, test de intrusión (pentesting) y protección de aplicaciones, datos e infraestructura on-premise y cloud, con hacking ético y cumplimiento normativo.

Más info

Business Intelligence

Cuadros de mando y análisis de datos con Power BI: integramos tus fuentes, diseñamos dashboards y KPIs y convertimos tus datos en decisiones.

Más info

Automatización de procesos

Automatizamos tareas repetitivas y conectamos tus aplicaciones con n8n, Power Automate, Make y RPA, eliminando trabajo manual y aumentando la productividad.

Más info

Formación para empresas

Formamos a tus equipos en tecnología con criterio: desarrollo web, bases de datos, Git, buenas prácticas y seguridad, automatización con n8n, inteligencia artificial para empresas y creación de soluciones de IA con Azure AI Foundry.

Más info

Auditoría de código

Auditamos el código que creas tú, tu equipo o una IA: te decimos qué está bien y qué mejorar, lo securizamos y lo dejamos listo para producción, web o app.

Más info

Generación de imágenes con IA

Creamos por ti las imágenes que necesita tu negocio con inteligencia artificial: producto, redes, publicidad, ilustración y avatares. Tú nos dices qué quieres y te lo entregamos listo para usar.

Más info

Generación de vídeos con IA

Creamos por ti vídeos con inteligencia artificial: promocionales, para redes, presentadores virtuales, doblaje y animaciones. Nos cuentas la idea y te lo entregamos montado y listo para publicar.

Más info

Avatares conversacionales con IA

Creamos avatares conversacionales con IA —humanos digitales con cara y voz— que atienden a tus clientes y equipos con el conocimiento de tu empresa, en tu web, monitores interactivos, WhatsApp o Teams.

Más info

Marketing Online e IA

Google Ads, Meta Ads, LinkedIn Ads y posicionamiento en motores de IA (GEO/AEO): captamos clientes y hacemos que tu marca aparezca donde te buscan, también en ChatGPT, Gemini y Perplexity.

Más info

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.

Live Chat