chrisvanmeer.certmonitor
ansible-role-certmonitor
Un rol para monitorear la expiración de cualquier certificado encontrado en cualquier host.
Requisitos
No hay requisitos.
Variables del Rol
Las variables disponibles se enumeran a continuación, junto con sus valores predeterminados (ver defaults/main.yml):
certmonitor_include_paths_global:
- /etc/pki
- /etc/ssl
- /opt
Las rutas predeterminadas que vamos a comprobar. Se combinarán con las variables _group y _host.
certmonitor_include_paths_group: []
Adición opcional de rutas a nivel de grupo.
certmonitor_include_paths_host: []
Adición opcional de rutas a nivel de host.
certmonitor_include_patterns_global:
- '.*\.crt$'
- '.*\.pem$'
Estos patrones regex se comprobarán para los nombres de archivos. Se combinarán con las variables _group y _host.
certmonitor_include_patterns_group: []
Adición opcional de patrones a nivel de grupo.
certmonitor_include_patterns_host: []
Adición opcional de patrones a nivel de host.
certmonitor_exclude_patterns_global:
- '/etc/pki/product-default/.*\.pem$'
- '/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt'
- '/etc/pki/ca-trust/extracted/pem/.*\.pem$'
- '/etc/pki/fwupd.*\.pem$'
- '/etc/pki/consumer/.*\.pem$'
- '/etc/pki/entitlement/.*\.pem$'
- '/etc/pki/nginx/dhparam.pem'
- '/etc/pki/tls/certs/localhost.crt'
- '.*-key\.pem$'
- '.*\.key\.pem$'
Patrones regex que excluiremos de la inspección. Principalmente certificados predeterminados y claves privadas. Se combinarán con las variables _group y _host.
certmonitor_exclude_patterns_group: []
Adición opcional de patrones de exclusión a nivel de grupo.
certmonitor_exclude_patterns_host: []
Adición opcional de patrones de exclusión a nivel de host.
certmonitor_validity_check: "+2w"
La comprobación de la validez de los certificados se especifica en semanas a partir de ahora. Por defecto, usamos "+2w" para informar sobre certificados que expiran en las próximas dos semanas.
certmonitor_email_enabled: false
El informe de correo electrónico predeterminado está deshabilitado; configúrelo en true para habilitarlo.
certmonitor_email_subject: "Certificados TLS que expiran"
Asunto del correo electrónico al enviar informes.
certmonitor_email_subtype: "html"
Configuración del tipo MIME del correo electrónico a html. También se puede establecer en plain. Se puede modificar la plantilla según se desee para adaptarla.
Hay más variables disponibles para la sección de correo electrónico. Consulte la última tarea en el playbook para esto. Si no existen, se omitirán, pero esto le da la opción de incluir estos valores en variables en lugar de tener que editar el playbook.
certmonitor_local_reporting: false
Si se habilita el informe local, se escribirá un archivo en la ubicación especificada con el nombre del sujeto del certificado. Dentro de ese archivo, se escribe la ubicación del archivo. Esto puede ser utilizado por un sistema de monitoreo como Zabbix para activar la existencia de este archivo y tener la ubicación del archivo disponible.
certmonitor_local_reporting_path: /tmp/certmonitor
La ubicación donde se escribirán los archivos si se habilita el informe local.
Dependencias
Para la inspección de certificados, este rol depende del módulo community.crypto.x509_certificate_info.
Para el correo electrónico, este rol depende del módulo community.general.mail.
Ejemplo de Playbook
Incluir un ejemplo de cómo usar su rol (por ejemplo, con variables pasadas como parámetros) también es útil para los usuarios:
- name: Monitoreo de Certificados
hosts: all
become: true
vars:
certmonitor_email_enabled: true
certmonitor_email_subject: "Certificados TLS que expiran"
certmonitor_email_sender: "[email protected]"
certmonitor_email_recipient: "[email protected]"
certmonitor_smtp_server: "smtp.yourdomain.com"
certmonitor_smtp_port: 25
roles:
- role: chrisvanmeer.certmonitor
Licencia
BSD
Información del Autor
- Chris van Meer c.v.meer@atcomputing.nl
ansible-galaxy install chrisvanmeer.certmonitor