Instalar Vaultwarden con Docker Compose

TL;DR — Resumen Rápido

Una guía completa para alojar tu propio administrador de contraseñas compatible con Bitwarden utilizando Docker Compose.

Tomar el control de tus propias contraseñas es el logro definitivo de cualquier laboratorio doméstico (homelab). Al alojar Vaultwarden, obtienes la potencia premium absoluta de Bitwarden dentro de tu propia casa.

En esta guía asumo que tienes Docker instalado y listo en una máquina Linux.

Paso 1: Preparar el Entorno

Primero, crea un directorio seguro para no perder accidentalmente nuestra base de datos.

mkdir -p /opt/vaultwarden
cd /opt/vaultwarden

Paso 2: La Configuración de Docker Compose

Crea un archivo llamado docker-compose.yml. Pega esta configuración óptima para producción:

version: '3'
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: always
    environment:
      - WEBSOCKET_ENABLED=true
      - SIGNUPS_ALLOWED=true
    volumes:
      - ./vw-data:/data
    ports:
      - 8080:80

La línea SIGNUPS_ALLOWED=true te permite registrar una cuenta. Lo cambiaremos a false tras el paso 5.

Paso 3: Lanzar el Contenedor

Ejecútalo silenciosamente en segundo plano:

docker-compose up -d

Verifica que inició exitosamente:

docker-compose logs -f

Paso 4: Configurar SSL y Reverse Proxy (Crucial)

Vaultwarden ignora todas las funciones críticas si no detecta una conexión HTTPS estricta debido a mecanismos de seguridad de los navegadores.

Abre Nginx Proxy Manager.
Agrega un “Proxy Host” enrutando passwords.tudominio.com al puerto 8080 de tu IP.
Habilita el certificado gratuito de “Let’s Encrypt”.

Paso 5: Desactivar los Registros

Ve a tu dominio HTTPS nuevo y registra tu usuario global. A continuación, cierra la puerta con fuerza de vuelta en tu archivo docker-compose.yml:

    environment:
      - WEBSOCKET_ENABLED=true
      - SIGNUPS_ALLOWED=false # ¡Nadie más podrá registrar cuentas!

Aplica el candado reiniciando el sistema:

docker-compose down && docker-compose up -d

¡Felicidades, tu centro super-secreto de contraseñas está en vivo!

Guide & Instructions

Estimated Time: 15m

Tools Needed:

Docker
Docker Compose
Nginx Proxy Manager
Terminal Linux

Preparar el Directorio

Crea una carpeta dedicada ejecutando `mkdir -p /opt/vaultwarden` y navega allí con `cd /opt/vaultwarden`.

Crear el archivo docker-compose.yml

Crea un `docker-compose.yml` usando la imagen `vaultwarden/server:latest`. Mapea el puerto a uno libre (`8080:80`) y un volumen a `./vw-data:/data`.

Configurar Variables Iniciales

Coloca `SIGNUPS_ALLOWED=true` para permitir crear tu primer usuario administrador cómodamente la primera vez.

Lanzar Vaultwarden

Ejecuta `docker-compose up -d` para desplegar. Usando `docker-compose logs -f` comprueba que no existan errores rojos.

Asegurar con tu Reverse Proxy

Usa Nginx Proxy Manager o Traefik para redirigir tu dominio HTTPS (con certificado Let's Encrypt) al puerto 8080 interno.

Frequently Asked Questions

¿Cuál es la diferencia entre Vaultwarden y Bitwarden?

Vaultwarden es una reescritura no oficial y ligera del servidor oficial de Bitwarden (escrita en Rust). Proporciona todas las funciones premium de Bitwarden (como organizaciones) de forma gratuita y consume mucha menos memoria RAM.

¿Funciona Vaultwarden con la app oficial de Bitwarden?

¡Sí! Como respeta la API oficial, puedes iniciar sesión usando la app de Android o iOS de Bitwarden simplemente cambiando la 'URL del entorno autocebado' por la tuya.

¿Puedo usar Vaultwarden sin un certificado SSL?

No. Los navegadores bloquean la API criptográfica nativa sin conexiones HTTPS estrictas, lo que significa que Vaultwarden fallará silenciosamente y no te dejará iniciar sesión.

¿Cómo se hace una copia de seguridad correcta?

Debes copiar la carpeta física `vw-data` definida en tu volumen Docker. Esta aloja tu base de datos SQLite y tus importantísimas claves de encriptación RSA. Sin ella, todo está perdido.