chrisvanmeer.certmonitor
ansible-role-certmonitor
Un rôle pour surveiller l'expiration de tout certificat trouvé sur n'importe quel hôte.
Exigences
Aucune exigence.
Variables du Rôle
Les variables disponibles sont listées ci-dessous, avec leurs valeurs par défaut (voir defaults/main.yml):
certmonitor_include_paths_global:
- /etc/pki
- /etc/ssl
- /opt
Les chemins par défaut que nous allons vérifier. Ils seront fusionnés avec les variables _group et _host.
certmonitor_include_paths_group: []
Ajout optionnel de chemins au niveau du groupe.
certmonitor_include_paths_host: []
Ajout optionnel de chemins au niveau de l'hôte.
certmonitor_include_patterns_global:
- '.*\.crt$'
- '.*\.pem$'
Ces motifs regex seront vérifiés pour les noms de fichiers. Ils seront fusionnés avec les variables _group et _host.
certmonitor_include_patterns_group: []
Ajout optionnel de motifs au niveau du groupe.
certmonitor_include_patterns_host: []
Ajout optionnel de motifs au niveau de l'hôte.
certmonitor_exclude_patterns_global:
- '/etc/pki/product-default/.*\.pem$'
- '/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt'
- '/etc/pki/ca-trust/extracted/pem/.*\.pem$'
- '/etc/pki/fwupd.*\.pem$'
- '/etc/pki/consumer/.*\.pem$'
- '/etc/pki/entitlement/.*\.pem$'
- '/etc/pki/nginx/dhparam.pem'
- '/etc/pki/tls/certs/localhost.crt'
- '.*-key\.pem$'
- '.*\.key\.pem$'
Motifs regex que nous exclurons de l'inspection. Principalement des certificats par défaut et des clés privées. Ils seront fusionnés avec les variables _group et _host.
certmonitor_exclude_patterns_group: []
Ajout optionnel de motifs d'exclusion au niveau du groupe.
certmonitor_exclude_patterns_host: []
Ajout optionnel de motifs d'exclusion au niveau de l'hôte.
certmonitor_validity_check: "+2w"
Vérification de la validité des certificats spécifiée en semaines à partir de maintenant. Par défaut, nous utilisons "+2w" pour signaler les certificats qui expirent dans les deux prochaines semaines.
certmonitor_email_enabled: false
L'envoi d'email par défaut est désactivé, définissez ceci sur true pour activer.
certmonitor_email_subject: "Certificats TLS expirants"
Sujet de l'email lors de l'envoi des rapports.
certmonitor_email_subtype: "html"
Définir le type mime de l'email sur html. Peut également être défini sur plain. On peut modifier le modèle selon ses choix pour correspondre à cela.
Il y a d'autres variables disponibles pour la section email. Référez-vous à la dernière tâche dans le playbook pour cela. Si elles n'existent pas, elles seront omises, mais cela vous donne la possibilité d'inclure ces valeurs dans les variables, plutôt que de devoir modifier le playbook.
certmonitor_local_reporting: false
Si le rapport local est activé, un fichier sera écrit à l'emplacement spécifié avec le nom du sujet du certificat. Dans ce fichier, l'emplacement du fichier sera écrit. Cela peut être utilisé par un système de surveillance comme Zabbix pour déclencher l'existence de ce fichier et avoir l'emplacement du fichier à portée de main.
certmonitor_local_reporting_path: /tmp/certmonitor
L'emplacement où les fichiers seront écrits si le rapport local est activé.
Dépendances
Pour l'inspection des certificats, ce rôle dépend du module community.crypto.x509_certificate_info.
Pour les emails, ce rôle dépend du module community.general.mail.
Exemple de Playbook
Inclure un exemple de la manière d'utiliser votre rôle (par exemple, avec des variables passées en tant que paramètres) est toujours utile pour les utilisateurs :
- name: Surveillance des certificats
hosts: all
become: true
vars:
certmonitor_email_enabled: true
certmonitor_email_subject: "Certificats TLS expirants"
certmonitor_email_sender: "[email protected]"
certmonitor_email_recipient: "[email protected]"
certmonitor_smtp_server: "smtp.votredomaine.com"
certmonitor_smtp_port: 25
roles:
- role: chrisvanmeer.certmonitor
Licence
BSD
Informations sur l'Auteur
- Chris van Meer c.v.meer@atcomputing.nl
ansible-galaxy install chrisvanmeer.certmonitor