netzwirt.simple-pki

Aperçu Versions Perspectives

ansible-simple-pki

Créez une PKI simple sur Ubuntu/Debian. Principalement basé sur PKI-Tutorial

Exigences

Quelques connaissances de base sur openssl et la PKI.

Variables de rôle

Sujet du certificat :

simplepki_domainComponent_tld: "com"
simplepki_domainComponent_domain: "exemple"
simplepki_organizationName: "Example Company Inc"

Demandes de certificats pour les serveurs :

simplepki_server_certs:
- { fqdn: 'exemple.com' }
- { fqdn: 'unautre.com', altnames: ['sous.unautre.com','monDomaine.com']}

Demandes de certificats pour les utilisateurs :

simplepki_user_certs:
- { username: 'fred', fullname: 'Fred Flintstone', email: 'fred@exemple.com' }
- { username: 'john', fullname: 'John Exemple', email: 'john@exemple.com' }

Révoquer des certificats :

simplepki_revocation_list:
- fred
- unautre.com

Créer uniquement des certificats pour les serveurs

ansible-playbook playbook.yml --tags=servercert

Renouveler des certificats depuis la ligne de commande

Passez la variable supplémentaire simplepki_renew_certificates. Cette variable doit être uniquement passée en tant qu'argument de ligne de commande.

ansible-playbook --extra-vars '{"simplepki_renew_certificates": ["fred","john"]}'

Révoquer des certificats depuis la ligne de commande

Passez la variable supplémentaire simplepki_revocation_list.

ansible-playbook --extra-vars '{"simplepki_revocation_list": ["fred","john"]}'

Dépendances

Aucune

Exemple de Playbook

- hosts: pki
  roles:
     - { role: netzwirt.simple-pki }

Fiche d'information sur la révocation

Révoquer un certificat :

Liste des raisons valides de révocation :

  • non spécifié

  • compromis de clé

  • compromis de CA

  • changement d'affiliation

  • remplacé

  • cessation d'activité

  • certificat en attente

    openssl ca -config etc/signing-ca.conf -revoke certs/fred.sha256.2048.crt -crl_reason unspecified

Créer CRL :

openssl ca -gencrl -config etc/signing-ca.conf -out crl/signing-ca.crl

Vérifier un certificat sans CRL :

openssl verify -verbose -CAfile ca/chained-ca.sha256.2048.crt certs/fred.sha256.2048.crt

Vérifier un certificat avec CRL :

openssl verify -crl_check_all -verbose -CAfile ca/chained-ca.sha256.2048.crt \
         -CRLfile crl/signing-ca.crl  certs/fred.sha256.2048.crt

Licence

BSD

Informations sur l'auteur

netzwirt

À propos du projet

Simple PKI for Ubuntu/Debian

role cryptography networking security system
Installer
ansible-galaxy install netzwirt.simple-pki
GitHub référentiel
4 étoiles
9 forks
1 problèmes ouverts
Licence
Unknown
Téléchargements
116
Propriétaire