chrisvanmeer.certmonitor
ansible-rollenzertmonitor
Eine Rolle zur Überwachung des Ablaufs von Zertifikaten auf jedem Host.
Anforderungen
Keine Anforderungen.
Rollenvariablen
Verfügbare Variablen sind unten aufgeführt, zusammen mit Standardwerten (siehe defaults/main.yml):
zertmonitor_include_paths_global:
- /etc/pki
- /etc/ssl
- /opt
Die Standardpfade, die wir überprüfen werden. Werden mit der _group und _host Variable zusammengeführt.
zertmonitor_include_paths_group: []
Optionale Ergänzung von Pfaden auf Gruppenebene.
zertmonitor_include_paths_host: []
Optionale Ergänzung von Pfaden auf Hostebene.
zertmonitor_include_patterns_global:
- '.*\.crt$'
- '.*\.pem$'
Diese Regex-Muster werden auf Dateinamen überprüft. Werden mit der _group und _host Variable zusammengeführt.
zertmonitor_include_patterns_group: []
Optionale Ergänzung von Mustern auf Gruppenebene.
zertmonitor_include_patterns_host: []
Optionale Ergänzung von Mustern auf Hostebene.
zertmonitor_exclude_patterns_global:
- '/etc/pki/product-default/.*\.pem$'
- '/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt'
- '/etc/pki/ca-trust/extracted/pem/.*\.pem$'
- '/etc/pki/fwupd.*\.pem$'
- '/etc/pki/consumer/.*\.pem$'
- '/etc/pki/entitlement/.*\.pem$'
- '/etc/pki/nginx/dhparam.pem'
- '/etc/pki/tls/certs/localhost.crt'
- '.*-key\.pem$'
- '.*\.key\.pem$'
Regex-Muster, die wir von der Überprüfung ausschließen werden. Hauptsächlich Standardzertifikate und private Schlüssel. Werden mit der _group und _host Variable zusammengeführt.
zertmonitor_exclude_patterns_group: []
Optionale Ergänzung von Ausschlussmustern auf Gruppenebene.
zertmonitor_exclude_patterns_host: []
Optionale Ergänzung von Ausschlussmustern auf Hostebene.
zertmonitor_validity_check: "+2w"
Die Überprüfung der Gültigkeit der Zertifikate, die in Wochen von jetzt an angegeben ist. Standardmäßig verwenden wir "+2w", um Zertifikate zu melden, die in den nächsten zwei Wochen ablaufen.
zertmonitor_email_enabled: false
Standardmäßig ist das E-Mail-Reporting deaktiviert. Setzen Sie dies auf true, um es zu aktivieren.
zertmonitor_email_subject: "Ablaufende TLS-Zertifikate"
Betreff der E-Mail beim Versenden von E-Mail-Berichten.
zertmonitor_email_subtype: "html"
Einstellung des E-Mail-MIME-Typs auf html. Kann auch auf plain gesetzt werden. Das Template kann nach Belieben angepasst werden.
Es gibt weitere Variablen im E-Mail-Bereich. Verweisen Sie auf die letzte Aufgabe im Playbook dafür. Wenn nicht vorhanden, werden diese weggelassen, aber dies gibt Ihnen die Möglichkeit, diese Werte in Variablen aufzunehmen, anstatt das Playbook bearbeiten zu müssen.
zertmonitor_local_reporting: false
Wenn das lokale Reporting aktiviert ist, wird eine Datei an dem angegebenen Ort mit dem Namen des Zertifikatssubjekts geschrieben. In dieser Datei wird der Speicherort der Datei geschrieben. Dies kann von einem Überwachungssystem wie Zabbix verwendet werden, um auf das Vorhandensein dieser Datei zu reagieren und den Dateipfad zur Hand zu haben.
zertmonitor_local_reporting_path: /tmp/zertmonitor
Der Ort, an dem die Dateien geschrieben werden, wenn das lokale Reporting aktiviert ist.
Abhängigkeiten
Für die Zertifikatsinspektion hängt diese Rolle vom Modul community.crypto.x509_certificate_info ab.
Für E-Mails hängt diese Rolle vom Modul community.general.mail ab.
Beispiel-Playbook
Ein Beispiel, wie Sie Ihre Rolle verwenden können (zum Beispiel mit übergebenen Variablen), ist für die Benutzer immer nützlich:
- name: Zertifikatsüberwachung
hosts: all
become: true
vars:
zertmonitor_email_enabled: true
zertmonitor_email_subject: "Ablaufende TLS-Zertifikate"
zertmonitor_email_sender: "[email protected]"
zertmonitor_email_recipient: "[email protected]"
zertmonitor_smtp_server: "smtp.yourdomain.com"
zertmonitor_smtp_port: 25
roles:
- role: chrisvanmeer.zertmonitor
Lizenz
BSD
Autoreninformation
- Chris van Meer c.v.meer@atcomputing.nl
ansible-galaxy install chrisvanmeer.certmonitor