netzwirt.simple-pki

ansible-simple-pki

Erstelle eine einfache PKI auf Ubuntu/Debian. Basierend auf PKI-Tutorial

Anforderungen

Ein grundlegendes Wissen über OpenSSL und PKI-Konzepte.

Rollenvariablen

Zertifikat-Subjekt:

simplepki_domainComponent_tld: "com"
simplepki_domainComponent_domain: "example"
simplepki_organizationName: "Beispiel Unternehmen GmbH"

Zertifikatsanfragen für Server:

simplepki_server_certs:
- { fqdn: 'example.com' }
- { fqdn: 'anothor.com', altnames: ['sub.another.com','mydomain.com']}

Zertifikatsanfragen für Benutzer:

simplepki_user_certs:
- { username: 'fred', fullname: 'Fred Feuerstein', email: '[email protected]' }
- { username: 'john', fullname: 'John Beispiel', email: '[email protected]' }

Widerruf von Zertifikaten:

simplepki_revocation_list:
- fred
- anothor.com

Erstelle nur Serverzertifikate

ansible-playbook playbook.yml --tags=servercert

Erneuere Zertifikate über die Kommandozeile

Übergebe die extra Variable simplepki_renew_certificates. Diese Variable sollte nur als Kommandozeilenargument übergeben werden.

ansible-playbook --extra-vars '{"simplepki_renew_certificates": ["fred","john"]}'

Widerrufe Zertifikate über die Kommandozeile

Übergebe die extra Variable simplepki_revocation_list.

ansible-playbook --extra-vars '{"simplepki_revocation_list": ["fred","john"]}'

Abhängigkeiten

Keine

Beispiel-Playbook

- hosts: pki
  roles:
     - { role: netzwirt.simple-pki }

Widerruf-Spickzettel

Widerrufe ein Zertifikat:

Liste der gültigen Widerrufsgründe:

nicht spezifiziert
Schlüsselkompromittierung
CA-Kompromittierung
Änderung der Zugehörigkeit
ersetzt
Betriebsaufgabe
Zertifikatsablage

openssl ca -config etc/signing-ca.conf -revoke certs/fred.sha256.2048.crt -crl_reason unspecified

Erstelle CRL:

openssl ca -gencrl -config etc/signing-ca.conf -out crl/signing-ca.crl

Überprüfe das Zertifikat ohne CRL:

openssl verify -verbose -CAfile ca/chained-ca.sha256.2048.crt certs/fred.sha256.2048.crt

Überprüfe das Zertifikat mit CRL:

openssl verify -crl_check_all -verbose -CAfile ca/chained-ca.sha256.2048.crt \
         -CRLfile crl/signing-ca.crl  certs/fred.sha256.2048.crt

Lizenz

BSD

Autorinformationen

netzwirt

Über das Projekt

Simple PKI for Ubuntu/Debian

role cryptography networking security system

Installieren

ansible-galaxy install netzwirt.simple-pki

GitHub Repository

4 Sterne

9 Forks

1 Offene Issues

Lizenz

Unknown

Downloads

116

Besitzer

Reto Gassmann