honzamach.certified

Überblick Versionen Einblicke

.. _section-role-certified:

Rolle zertifiziert

  • Ansible Galaxy Seite <https://galaxy.ansible.com/honzamach/certified>__
  • GitHub Repository <https://github.com/honzamach/ansible-role-certified>__
  • Travis CI Seite <https://travis-ci.org/honzamach/ansible-role-certified>__

Der Hauptzweck dieser Rolle ist das Management von Serverzertifikaten. Sie kümmert sich um folgende Aufgaben:

  • Verwaltung eines benutzerdefinierten Serverzertifikatspeichers und Bearbeitung von Zertifikatänderungen.
  • Verwaltung des Standard-CA-Zertifikatspeichers.
  • Verwaltung des Standard-CA-Zertifikatschlüsselpeichers.
  • Verwaltung des vertrauenswürdigen CA-Zertifikatspeichers.

Inhaltsverzeichnis:

  • :ref:section-role-certified-installation
  • :ref:section-role-certified-dependencies
  • :ref:section-role-certified-usage
  • :ref:section-role-certified-variables
  • :ref:section-role-certified-files
  • :ref:section-role-certified-author

Diese Rolle ist Teil des MSMS <https://github.com/honzamach/msms>__ Pakets. Einige allgemeine Funktionen sind in seinem :ref:Handbuch <section-manual> dokumentiert.

.. _section-role-certified-installation:

Installation

Um die Rolle honzamach.certified <https://galaxy.ansible.com/honzamach/certified>__ von Ansible Galaxy <https://galaxy.ansible.com/>__ zu installieren, verwenden Sie eine Variante des folgenden Befehls::

ansible-galaxy install honzamach.certified

Um die Rolle direkt von GitHub <https://github.com>__ zu installieren, indem Sie das ansible-role-certified <https://github.com/honzamach/ansible-role-certified>__ Repository klonen, verwenden Sie eine Variante des folgenden Befehls::

git clone https://github.com/honzamach/ansible-role-certified.git honzamach.certified

Der Vorteil der direkten Git-Klonierung besteht derzeit darin, dass die Rolle einfach aktualisiert werden kann, wenn eine neue Version verfügbar ist.

.. _section-role-certified-dependencies:

Abhängigkeiten

Diese Rolle hängt von keiner anderen Rolle ab.

Folgende Rollen haben eine Abhängigkeit von dieser Rolle:

  • :ref:alchemist <section-role-alchemist>
  • :ref:griffin <section-role-griffin> [SOFT]
  • :ref:griffin_watchee <section-role-griffin-watchee> [SOFT]
  • :ref:logged <section-role-logged>
  • :ref:logserver <section-role-logserver>
  • :ref:postgresql <section-role-postgresql> [SOFT]

.. _section-role-certified-usage:

Benutzung

Beispielinhalt der Inventardatei inventory::

[servers]
ihr-server

[servers_certified]
ihr-server

Beispielinhalt der Rollen-Playbook-Datei role_playbook.yml::

- hosts: servers_certified
  remote_user: root
  roles:
    - role: honzamach.certified
  tags:
    - role-certified

Beispielverwendung::

# Alles ausführen:
ansible-playbook --ask-vault-pass --inventory inventory role_playbook.yml

Es wird empfohlen, diese Konfigurationsprinzipien zu befolgen:

  • Erstellen/Bearbeiten der Datei inventory/group_vars/all/vars.yml und darin einige sinnvolle Standardwerte für alle verwalteten Server definieren::

      # Dies ist erforderlich, damit der Mechanismus für weiche Abhängigkeiten funktioniert.
  hm_certified__cert_host_dir: /etc/ssl/servercert
  hm_certified__cert_ca_dir: /etc/ssl/certs
  hm_certified__cert_key_dir: /etc/ssl/private
  hm_certified__trustedcert_ca_dir: /etc/ssl/trusted_ca

  • Verwenden Sie die Dateien inventory/host_vars/[ihr-server]/vars.yml zur Anpassung von Einstellungen für bestimmte Server. Siehe Abschnitt :ref:section-role-certified-variables für alle verfügbaren Optionen.

  • Verwenden Sie das Verzeichnis inventory/group_files/servers/honzamach.certified/ca_certs, um zusätzliche Zertifikate der Zertifizierungsstelle bereitzustellen, die auf alle Server hochgeladen werden. Diese landen sowohl im :envvar:hm_certified__cert_ca_dir als auch im :envvar:hm_certified__trustedcert_ca_dir Verzeichnis.

  • Verwenden Sie das Verzeichnis inventory/host_files/[ihr-server]/honzamach.certified/host_certs, um server-spezifische Zertifikate bereitzustellen. Diese landen im :envvar:hm_certified__cert_host_dir Verzeichnis. Bitte vergessen Sie nicht, mindestens die Schlüssel der Zertifikate mit :ref:ansible-vault <section-overview-vault> zu verschlüsseln.

.. _section-role-certified-variables:

Konfigurationsvariablen

Interne Rollenvariablen

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

.. envvar:: hm_certified__cert_host_dir

Pfad zum Verzeichnis für Hostzertifikate. Dieses Verzeichnis enthält das benutzerdefinierte Serverzertifikat. Für die Funktion des Mechanismus für weiche Abhängigkeiten muss dies global definiert werden,
andernfalls ist diese Variable nicht definiert.

* *Datentyp:* ``string``
* *Standard:* ``/etc/ssl/servercert``

.. envvar:: hm_certified__cert_ca_dir

Pfad zum CA-Zertifikatspeicher.

* *Datentyp:* ``string``
* *Standard:* ``/etc/ssl/certs``

.. envvar:: hm_certified__cert_key_dir

Pfad zum Speicher der privaten Zertifikatschlüssel.

* *Datentyp:* ``string``
* *Standard:* ``/etc/ssl/private``

.. envvar:: hm_certified__trustedcert_ca_dir

Pfad zum Speicher der vertrauenswürdigen CA-Zertifikate. Diese Zertifikate können alles sein,
was Sie in Ihrem Unternehmen verwenden und vertrauen, sogar selbst-signierte Zertifikate für einige
benutzerdefinierte interne Anwendungen. Ein Anwendungsbeispiel ist die Konfigurationseinstellung
`ca_dir() <https://www.syslog-ng.com/technical-documents/doc/syslog-ng-open-source-edition/3.25/administration-guide/ca_dir>`__
des syslog-ng <https://www.syslog-ng.com/> Daemons, auf das Sie in der Regel nicht
auf das allgemeine Verzeichnis ``/etc/ssl/certs`` zeigen, sondern auf ein Verzeichnis, das
einen Teil der Zertifizierungsstellen enthält, die von Ihren Log-Servern verwendet werden.

* *Datentyp:* ``string``
* *Standard:* ``/etc/ssl/trusted_ca``

.. _section-role-certified-files:

Verwaltete Dateien

Diese Rolle lädt Zertifikate in entfernte Verzeichnisse entsprechend der Konfiguration :ref:Variablen <section-role-certified-variables>. Standardmäßig sind diese Verzeichnisse folgende:

  • /etc/ssl/servercert [KOPIE]
  • /etc/ssl/certs [KOPIE]
  • /etc/ssl/trusted_ca [KOPIE]

.. _section-role-certified-author:

Autor und Lizenz

| Copyright: (C) seit 2019 Honza Mach honza.mach.ml@gmail.com | Autor: Honza Mach honza.mach.ml@gmail.com | Die Verwendung dieser Rolle unterliegt der MIT-Lizenz, siehe die LICENSE-Datei. |

Über das Projekt

Ansible role for managing certificates on all target servers.

role certificates system
Installieren
ansible-galaxy install honzamach.certified
GitHub Repository
0 Sterne
0 Forks
0 Offene Issues
Lizenz
mit
Downloads
122
Besitzer