chrisvanmeer.certmonitor
ansible-role-certmonitor
ホスト上の証明書の有効期限を監視するためのロールです。
要件
特に要件はありません。
ロール変数
使用可能な変数は以下に示されており、デフォルト値も記載しています(defaults/main.yml を参照):
certmonitor_include_paths_global:
- /etc/pki
- /etc/ssl
- /opt
確認するデフォルトのパスです。_group および _host 変数とマージされます。
certmonitor_include_paths_group: []
グループレベルでのパスのオプション追加です。
certmonitor_include_paths_host: []
ホストレベルでのパスのオプション追加です。
certmonitor_include_patterns_global:
- '.*\.crt$'
- '.*\.pem$'
これらの正規表現パターンはファイル名を検査するために使用されます。_group および _host 変数とマージされます。
certmonitor_include_patterns_group: []
グループレベルでのパターンのオプション追加です。
certmonitor_include_patterns_host: []
ホストレベルでのパターンのオプション追加です。
certmonitor_exclude_patterns_global:
- '/etc/pki/product-default/.*\.pem$'
- '/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt'
- '/etc/pki/ca-trust/extracted/pem/.*\.pem$'
- '/etc/pki/fwupd.*\.pem$'
- '/etc/pki/consumer/.*\.pem$'
- '/etc/pki/entitlement/.*\.pem$'
- '/etc/pki/nginx/dhparam.pem'
- '/etc/pki/tls/certs/localhost.crt'
- '.*-key\.pem$'
- '.*\.key\.pem$'
検査から除外する正規表現パターンです。主にデフォルトの証明書と秘密鍵が含まれます。_group および _host 変数とマージされます。
certmonitor_exclude_patterns_group: []
グループレベルでの除外パターンのオプション追加です。
certmonitor_exclude_patterns_host: []
ホストレベルでの除外パターンのオプション追加です。
certmonitor_validity_check: "+2w"
証明書の有効性を確認する期間を指定します。デフォルトでは、次の2週間以内に期限が切れる証明書を報告します。
certmonitor_email_enabled: false
デフォルトではメール報告は無効です。true に設定することで有効にできます。
certmonitor_email_subject: "期限切れのTLS証明書"
メール報告を送信する際の件名です。
certmonitor_email_subtype: "html"
メールのMIMEタイプを html に設定します。 plain に設定することも可能です。これに合わせてテンプレートを変更することができます。
メールセクションに関しては、他に利用可能な変数があります。これについてはプレイブックの最後のタスクを参照してください。存在しない場合は省略されますが、プレイブックを編集する必要なく、変数にこれらの値を含めるオプションがあります。
certmonitor_local_reporting: false
ローカル報告が有効になっている場合、証明書のサブジェクト名のファイルが指定された場所に作成されます。そのファイル内にファイルの場所が書かれます。これはZabbixのような監視システムによって、このファイルの存在をトリガーするために利用できます。
certmonitor_local_reporting_path: /tmp/certmonitor
ローカル報告が有効な場合にファイルが作成される場所です。
依存関係
証明書の検査には、community.crypto.x509_certificate_info モジュールが依存しています。
メール機能には、community.general.mail モジュールが依存しています。
例プレイブック
ロールの使い方(例えば、変数をパラメータとして渡す方法)の例を含むことは、ユーザーにとって常に便利です:
- name: 証明書監視
hosts: all
become: true
vars:
certmonitor_email_enabled: true
certmonitor_email_subject: "期限切れのTLS証明書"
certmonitor_email_sender: "[email protected]"
certmonitor_email_recipient: "[email protected]"
certmonitor_smtp_server: "smtp.yourdomain.com"
certmonitor_smtp_port: 25
roles:
- role: chrisvanmeer.certmonitor
ライセンス
BSD
著者情報
- Chris van Meer c.v.meer@atcomputing.nl
ansible-galaxy install chrisvanmeer.certmonitor