opencore.keystores
Opencore.Keystores
Ce rôle facilite la mise en place d'une infrastructure PKI et la signature des certificats des serveurs et des utilisateurs avec cette infrastructure.
Pour une introduction plus détaillée, consultez ce billet de blog.
Exigences
Ce rôle n'est pas conçu pour être exécuté sur plusieurs hôtes et effectuer des modifications sur ces hôtes. Au lieu de cela, il doit être exécuté sur localhost et générer des fichiers là-bas en se basant sur les informations de l'inventaire. Par conséquent, l'hôte local (ou éloigné si exécuté sur un autre hôte) doit fournir les logiciels suivants comme prérequis :
- OpenSSL
- Java (pour la commande keytool)
Variables du Rôle
Le rôle a une variable obligatoire qui doit être définie pour qu'il s'exécute : KEYSTORE_BASE_DIR : Ce sera le chemin de base par rapport auquel tous les fichiers seront créés. Si ce rôle est utilisé à partir du script wrapper, cela sera automatiquement défini sur le répertoire actuel.
Pour configurer le rôle, les paramètres suivants sont disponibles :
| Variable | Description | Valeur par défaut |
|---|---|---|
| CLIENT_CERTIFICATES | Une liste de noms d'utilisateur pour lesquels des certificats clients seront générés. | ["user1", "user2"] |
| CERTIFICATE_VALID_DAYS | Le nombre de jours pendant lesquels les certificats seront valides. | 365 |
| KEY_VALID_DAYS | Le nombre de jours pendant lesquels les clés seront valides. | 10000 |
| SSL_STORE_PASSWORD | Le mot de passe à utiliser pour les fichiers keystore. | secret |
| SSL_KEY_PASSWORD | Le mot de passe à utiliser pour les clés dans les keystores. | secret |
| FORCE_CA | Si défini sur vrai, tous les fichiers existants pour cet inventaire seront supprimés et un nouvel ensemble complet de fichiers CA, utilisateurs et serveurs sera généré. | false |
| FORCE_CERTS | Si défini sur vrai, les fichiers CA seront conservés mais toutes les clés et certificats utilisateur et serveur seront régénérés. Utile si vos certificats utilisateur ont expiré et que vous souhaitez les régénérer à partir de la même CA. | false |
| DOMAIN | Utilisé pour les propriétés des certificats. | OPENCORE.COM |
| O | Utilisé pour les propriétés des certificats. | OpenCore |
| C | Utilisé pour les propriétés des certificats. | DE |
| ST | Utilisé pour les propriétés des certificats. | SH |
| L | Utilisé pour les propriétés des certificats. | Wedel |
| OU | Utilisé pour les propriétés des certificats. | Interne |
| KEYSTORE_DIR | Chemin vers le répertoire qui contiendra les keystores. Cela ne devrait généralement pas être nécessaire de changer cela. | |
| CA_DIR | Chemin vers le répertoire qui contiendra les fichiers CA. Cela ne devrait généralement pas être nécessaire de changer cela. | |
| CERT_DIR | Chemin vers le répertoire qui contiendra les fichiers de certificat intermédiaire et csr. Cela ne devrait généralement pas être nécessaire de changer cela. |
Dépendances
Le rôle n'a pas de dépendances directes sur d'autres rôles.
Exemple de Playbook
Inclure un exemple de la façon d'utiliser votre rôle (par exemple, avec des variables passées en paramètres) est toujours utile pour les utilisateurs également :
- hosts: localhost
roles:
- opencore.keystores
Licence
BSD
ansible-galaxy install opencore.keystores