netzwirt.simple-pki
ansible-simple-pki
Crea una PKI simple en Ubuntu/Debian. Principalmente basado en PKI-Tutorial
Requisitos
Un conocimiento básico de openssl y temas de PKI.
Variables de rol
Sujeto del certificado:
simplepki_domainComponent_tld: "com"
simplepki_domainComponent_domain: "ejemplo"
simplepki_organizationName: "Ejemplo Compañía Inc"
Solicitudes de certificados de servidor:
simplepki_server_certs:
- { fqdn: 'ejemplo.com' }
- { fqdn: 'otro.com', altnames: ['sub.otro.com','midominio.com']}
Solicitudes de certificados de usuario:
simplepki_user_certs:
- { username: 'fred', fullname: 'Fred Flintstone', email: '[email protected]' }
- { username: 'john', fullname: 'John Ejemplo', email: '[email protected]' }
Revocar certificados:
simplepki_revocation_list:
- fred
- otro.com
Crear solo certificados de servidor
ansible-playbook playbook.yml --tags=servercert
Renovar certificados desde la línea de comandos
Pasa la variable extra simplepki_renew_certificates. Esta variable solo debe pasarse como argumento de línea de comandos.
ansible-playbook --extra-vars '{"simplepki_renew_certificates": ["fred","john"]}'
Revocar certificados desde la línea de comandos
Pasa la variable extra simplepki_revocation_list.
ansible-playbook --extra-vars '{"simplepki_revocation_list": ["fred","john"]}'
Dependencias
Ninguna
Ejemplo de Playbook
- hosts: pki
roles:
- { role: netzwirt.simple-pki }
Hoja de trucos de revocación
Revocar un certificado:
Lista de razones válidas para revocación:
no especificada
compromiso de clave
compromiso de CA
cambio de afiliación
sustituido
cese de operación
retención de certificado
openssl ca -config etc/signing-ca.conf -revoke certs/fred.sha256.2048.crt -crl_reason unspecified
Crear CRL:
openssl ca -gencrl -config etc/signing-ca.conf -out crl/signing-ca.crl
Comprobar certificado sin CRL:
openssl verify -verbose -CAfile ca/chained-ca.sha256.2048.crt certs/fred.sha256.2048.crt
Comprobar certificado con CRL:
openssl verify -crl_check_all -verbose -CAfile ca/chained-ca.sha256.2048.crt \
-CRLfile crl/signing-ca.crl certs/fred.sha256.2048.crt
Licencia
BSD
Información del autor
ansible-galaxy install netzwirt.simple-pki