opencore.keystores
Opencore.Keystores
Diese Rolle erleichtert die Einrichtung einer PKI-Infrastruktur und das Signieren von Server- und Benutzerzertifikaten mit dieser Infrastruktur.
Für eine umfassendere Einführung siehe diesen Blogbeitrag.
Anforderungen
Diese Rolle ist nicht dafür gedacht, gegen viele Hosts ausgeführt zu werden und Änderungen an diesen Hosts vorzunehmen. Stattdessen sollte sie gegen localhost ausgeführt werden und dort Dateien basierend auf Informationen aus dem Inventar erstellen. Daher muss der lokale (oder, falls gegen einen anderen ausgeführt, entfernte) Host die folgende Software als Voraussetzung bereitstellen:
- OpenSSL
- Java (für den keytool-Befehl)
Rollenvariablen
Die Rolle hat eine obligatorische Variable, die gesetzt werden muss, damit sie ausgeführt werden kann: KEYSTORE_BASE_DIR: Dies wird der Basispfad sein, relativ zu dem alle Dateien erstellt werden. Wenn diese Rolle vom Wrapper-Skript verwendet wird, wird dies automatisch auf das aktuelle Verzeichnis gesetzt.
Zur Konfiguration der Rolle stehen folgende Parameter zur Verfügung:
| Variable | Beschreibung | Standard |
|---|---|---|
| CLIENT_CERTIFICATES | Eine Liste von Benutzernamen, für die Client-Zertifikate generiert werden. | ["user1", "user2"] |
| CERTIFICATE_VALID_DAYS | Die Anzahl der Tage, für die die Zertifikate gültig sind. | 365 |
| KEY_VALID_DAYS | Die Anzahl der Tage, für die die Schlüssel gültig sind. | 10000 |
| SSL_STORE_PASSWORD | Das Passwort für die Keystore-Dateien. | secret |
| SSL_KEY_PASSWORD | Das Passwort für die Schlüssel innerhalb der Keystores. | secret |
| FORCE_CA | Wenn auf true gesetzt, werden alle vorhandenen Dateien für dieses Inventar gelöscht und ein komplett neuer Satz von CA-, Benutzer- und Serverdateien generiert. | false |
| FORCE_CERTS | Wenn auf true gesetzt, werden die CA-Dateien beibehalten, aber alle Benutzer- und Server-Schlüssel sowie Zertifikate werden neu generiert. Nützlich, wenn Ihre Benutzerzertifikate abgelaufen sind. | false |
| DOMAIN | Wird für die Zertifikateigenschaften verwendet. | OPENCORE.COM |
| O | Wird für die Zertifikateigenschaften verwendet. | OpenCore |
| C | Wird für die Zertifikateigenschaften verwendet. | DE |
| ST | Wird für die Zertifikateigenschaften verwendet. | SH |
| L | Wird für die Zertifikateigenschaften verwendet. | Wedel |
| OU | Wird für die Zertifikateigenschaften verwendet. | Intern |
| KEYSTORE_DIR | Pfad zum Verzeichnis, das die Keystores enthält. Sollte in der Regel nicht geändert werden müssen. | |
| CA_DIR | Pfad zum Verzeichnis, das die CA-Dateien enthält. Sollte in der Regel nicht geändert werden müssen. | |
| CERT_DIR | Pfad zum Verzeichnis, das die Zwischenzertifikate und CSR-Dateien enthält. Sollte in der Regel nicht geändert werden müssen. |
Abhängigkeiten
Die Rolle hat keine direkten Abhängigkeiten von anderen Rollen.
Beispiel-Playbook
Ein Beispiel, wie man die Rolle verwendet (zum Beispiel mit Variablen, die als Parameter übergeben werden), ist für die Benutzer ebenfalls hilfreich:
- hosts: localhost
roles:
- opencore.keystores
Lizenz
BSD