honzamach.certified

概要 バージョン 洞察

役割 認定済み

  • Ansible Galaxy ページ <https://galaxy.ansible.com/honzamach/certified>__
  • GitHub リポジトリ <https://github.com/honzamach/ansible-role-certified>__
  • Travis CI ページ <https://travis-ci.org/honzamach/ansible-role-certified>__

この役割の主な目的はサーバー証明書の管理です。以下のタスクを処理します:

  • カスタムサーバー証明書リポジトリの管理、証明書の変更を処理。
  • デフォルトのCA証明書リポジトリの管理。
  • デフォルトのCA証明書鍵リポジトリの管理。
  • 信頼されたCA証明書リポジトリの管理。

目次:

  • :ref:section-role-certified-installation
  • :ref:section-role-certified-dependencies
  • :ref:section-role-certified-usage
  • :ref:section-role-certified-variables
  • :ref:section-role-certified-files
  • :ref:section-role-certified-author

この役割は MSMS <https://github.com/honzamach/msms>__ パッケージの一部です。 いくつかの一般的な機能はその :ref:マニュアル <section-manual> に記載されています。

.. _section-role-certified-installation:

インストール

Ansible Galaxy <https://galaxy.ansible.com/>__ から役割 honzamach.certified <https://galaxy.ansible.com/honzamach/certified>__ をインストールするには、以下のコマンドのバリエーションを使用してください::

ansible-galaxy install honzamach.certified

GitHub <https://github.com>__ から直接インストールするには、次のコマンドを使用して ansible-role-certified <https://github.com/honzamach/ansible-role-certified>__ リポジトリをクローンしてください::

git clone https://github.com/honzamach/ansible-role-certified.git honzamach.certified

現在、直接Gitクローンを使用する利点は、新しいバージョンが出たときに 役割を簡単に更新できることです。

.. _section-role-certified-dependencies:

依存関係

この役割は他の役割に依存していません。

以下の役割はこの役割に依存しています:

  • :ref:alchemist <section-role-alchemist>
  • :ref:griffin <section-role-griffin> [ソフト]
  • :ref:griffin_watchee <section-role-griffin-watchee> [ソフト]
  • :ref:logged <section-role-logged>
  • :ref:logserver <section-role-logserver>
  • :ref:postgresql <section-role-postgresql> [ソフト]

.. _section-role-certified-usage:

使用方法

インベントリファイル inventory の例::

[servers]
your-server

[servers_certified]
your-server

役割プレイブックファイル role_playbook.yml の例::

- hosts: servers_certified
  remote_user: root
  roles:
    - role: honzamach.certified
  tags:
    - role-certified

使用例::

# すべて実行:
ansible-playbook --ask-vault-pass --inventory inventory role_playbook.yml

これらの設定原則に従うことを推奨します:

  • ファイル inventory/group_vars/all/vars.yml を作成/編集し、 管理するすべてのサーバーのために適切なデフォルトを定義します::

      # これはソフト依存関係メカニズムが機能するために必要です。
  hm_certified__cert_host_dir: /etc/ssl/servercert
  hm_certified__cert_ca_dir: /etc/ssl/certs
  hm_certified__cert_key_dir: /etc/ssl/private
  hm_certified__trustedcert_ca_dir: /etc/ssl/trusted_ca

  • 特定のサーバーの設定をカスタマイズするためにファイル inventory/host_vars/[your-server]/vars.yml を使用します。 利用可能なすべてのオプションについては :ref:section-role-certified-variables をご覧ください。

  • 追加の認証機関証明書をすべてのサーバーにアップロードするために、 ディレクトリ inventory/group_files/servers/honzamach.certified/ca_certs を使用します。 これらは両方の :envvar:hm_certified__cert_ca_dir と :envvar:hm_certified__trustedcert_ca_dir ディレクトリに配置されます。

  • 特定のサーバー専用の証明書を提供するために ディレクトリ inventory/host_files/[your-server]/honzamach.certified/host_certs を使用します。 これらは :envvar:hm_certified__cert_host_dir ディレクトリに配置されます。 少なくとも証明書キーを :ref:ansible-vault <section-overview-vault> で暗号化することを忘れないでください。

.. _section-role-certified-variables:

設定変数

内部役割変数

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

.. envvar:: hm_certified__cert_host_dir

ホスト証明書ディレクトリへのパス。このディレクトリにはカスタムサーバー証明書が含まれます。
ソフト依存関係メカニズムが機能するためには、これをグローバルに定義する必要があります。
さもなければ、この変数は未定義のままになります。

* *データ型:* ``string``
* *デフォルト:* ``/etc/ssl/servercert``

.. envvar:: hm_certified__cert_ca_dir

CA証明書リポジトリへのパス。

* *データ型:* ``string``
* *デフォルト:* ``/etc/ssl/certs``

.. envvar:: hm_certified__cert_key_dir

プライベート証明書鍵リポジトリへのパス。

* *データ型:* ``string``
* *デフォルト:* ``/etc/ssl/private``

.. envvar:: hm_certified__trustedcert_ca_dir

信頼されたCA証明書リポジトリへのパス。これらの証明書は組織内で使用し信頼するもので、
特定の内部アプリケーションの自己署名証明書も含むことができます。
一例として、syslog-ng <https://www.syslog-ng.com/> の設定
`ca_dir() <https://www.syslog-ng.com/technical-documents/doc/syslog-ng-open-source-edition/3.25/administration-guide/ca_dir>`__
は、一般の``/etc/ssl/certs`` ディレクトリではなく、
ログサーバーで使用される認証機関のサブセットを含むディレクトリを指す必要があります。

* *データ型:* ``string``
* *デフォルト:* ``/etc/ssl/trusted_ca``

.. _section-role-certified-files:

管理ファイル

この役割は、設定 :ref:variables <section-role-certified-variables> に従って リモートディレクトリに証明書をアップロードします。デフォルトでは、これらのディレクトリは次のとおりです:

  • /etc/ssl/servercert [コピー]
  • /etc/ssl/certs [コピー]
  • /etc/ssl/trusted_ca [コピー]

.. _section-role-certified-author:

著者とライセンス

| 著作権: 2019年から (C) Honza Mach honza.mach.ml@gmail.com | 著者: Honza Mach honza.mach.ml@gmail.com | この役割の使用はMITライセンスの下で規定されており、LICENSEファイルを参照してください。 |

プロジェクトについて

Ansible role for managing certificates on all target servers.

role certificates system
インストール
ansible-galaxy install honzamach.certified
GitHub リポジトリ
0 スター
0 フォーク
0 オープンな問題
ライセンス
mit
ダウンロード
122
所有者