buluma.ca

Ansibleロール ca

システムに証明書機関をインストールして設定します。

GitHub	バージョン	課題	プルリクエスト	ダウンロード

サンプルプレイブック

このサンプルはmolecule/default/converge.ymlから取得されており、各プッシュ、プルリクエスト、リリースでテストされています。

---
- name: Converge
  hosts: all
  become: true
  gather_facts: true

  roles:
    - role: buluma.ca

マシンを準備する必要があります。CIではmolecule/default/prepare.ymlを使用して行います。

---
- name: Prepare
  hosts: all
  become: true
  gather_facts: false

  roles:
    - role: buluma.bootstrap
    - role: buluma.buildtools
    - role: buluma.epel
    - role: buluma.python_pip
    - role: buluma.openssl
      openssl_items:
        - name: apache-httpd
          common_name: "{{ ansible_fqdn }}"
    - role: buluma.httpd

これらのロールの使用方法についての詳細な説明と例も参照してください。

ロール変数

変数のデフォルト値はdefaults/main.ymlに設定されています。

---
# ca用のデフォルトファイル

# ca_init: 'yes'を設定するとCAを作成します
ca_init: true

# 自分のルートCAを持ちたい場合はca_own_root: 'yes'。
# そうでない場合は手動でca_certificate_pathを設定します。
ca_own_root: true

# CAキーのためのパスフレーズ。
ca_passphrase: SuP3rS3cr3T

# CAの共通名。
ca_common_name: example.com

# CAのその他の詳細。
ca_country_name: KE
ca_email_address: [email protected]
ca_organization_name: Very little
ca_organizational_unit_name: Even less
ca_state_or_province_name: Nairobi
ca_locality_name: Nairobi

# キーと証明書をリクエストする2つの形式があります：
# 1. 詳細付き：(name:を含む)
# ca_requests:
#   - name: certificate1.example.com
#     passphrase: S3creT
#
# 2. 詳細なし：(name:を含まない)
# ca_requests:
#   - "{{ ansible_fqdn }}"

# これらの形式を混ぜることもできます：
# ca_requests:
#   - name: certificate1.example.com
#     passphrase: S3creT
#   - "{{ ansible_fqdn }}"

# 証明書の公開場所、通常はウェブサーバーの場所。
# 指定しない場合、証明書は公開されません。
# {{ httpd_data_directory }}はbuluma.httpdロールから継承されます。
ca_publication_location: "{{ httpd_data_directory | default('/tmp') }}/pub"

# 証明書をどこに保存する必要がありますか？デフォルトでは配布の
# 好ましい場所が使用されます（`vars/main.yml`内、_ca_openssl_pathの下）。
# CA証明書が他の場所に必要な場合は、次のように指定します：
# ca_openssl_path: /my/preferred/path
ca_openssl_path: "{{ _ca_openssl_path[ansible_os_family] | default(_ca_openssl_path['default']) }}"