Ansible ロール: SSL 証明書

SSL 証明書をインストールする Ansible ロールです。

目次

• 要件
• ロール変数
  • 宛先変数の再利用
• 依存関係
• サンプルプレイブック
  • トップレベルプレイブック
  • ロール依存関係
• ライセンス
• 著者情報

要件

• Ansible 2.4 以上

ロール変数

このロールには1つの変数だけが必要です。この変数は少し詳しい内容に見えますが、基本的には証明書のリストです。各証明書には key と cert が必要で、オプションで chain も指定できます。

ssl_certificates:
  - name: blah.example.com の一部ホスト用 SSL 証明書
    key:
      content: '{{ vault_ssl_certificate_key }}'
      dest: /path/to/key.pem
    cert:
      src: path/to/cert.pem
      dest: /path/to/cert.pem
    chain:
      src: path/to/chain
      dest: /path/to/chain
  - name: bippy.example.com の一部ホスト用 SSL 証明書
    key:
      ...

注意: key はボールトに入れることを推奨します ボールト。

注意: Ansible が src ファイルを見つけられるようにしてください。group_vars/group や host_vars/host は自動的には検索されません。そこにファイルを置きたい場合は、host_vars/host/example.com.pem のようにしてください。

注意: key、cert、および chain ではカスタムの setype を設定できます。デフォルトは cert_t です。

注意: key では、ACL エントリを介して追加の読み取り権限を与えるためにリストを指定できます。これは root として起動せずに権限をドロップする必要があるサービスに向けられています。

ssl_certificates:
  - name: blah.example.com の一部ホスト用 SSL 証明書
    key:
      content: '{{ vault_ssl_certificate_key }}'
      dest: /path/to/key.pem
      acl_users:
        - service-user-a
        - service-user-b
    cert:
      ...

宛先変数の再利用

他のロールの設定変数に 宛先 変数を再利用できます。例えば：

---

ssl_certificates:
  - name: blah.example.com の一部ホスト用 SSL 証明書
    ...
  - name: ...
    ...

# ssl_certificates はリストなので、[n] でインデックスする必要がある

apache_ssl_cert_key_file: '{{ ssl_certificates[0].key.dest }}'
apache_ssl_cert_file: '{{ ssl_certificates[0].cert.dest }}'
apache_ssl_cert_chain_file: '{{ ssl_certificates[0].chain.dest }}'

# ここでは2番目のキーを postfix に使用

postfix_smtp_tls_key_file: '{{ ssl_certificates[1].key.dest }}'
postfix_smtp_tls_cert_file: '{{ ssl_certificates[1].cert.dest }}'

postfix_smtpd_tls_key_file: '{{ ssl_certificates[1].key.dest }}'
postfix_smtpd_tls_cert_file: '{{ ssl_certificates[1].cert.dest }}'

...

依存関係

なし。

サンプルプレイブック

requirements.yml に追加：

---

- src: idiv-biodiversity.ssl_certificates

...

ダウンロード：

$ ansible-galaxy install -r requirements.yml

トップレベルプレイブック

トップレベルプレイブックを書く：

---

- name: head server
  hosts: head

  roles:
    - role: idiv-biodiversity.ssl_certificates
      tags:
        - certificates
        - ssl-certificates

...

ロール依存関係

meta/main.yml にロール依存関係を定義：

---

dependencies:

  - role: idiv-biodiversity.ssl_certificates
    tags:
      - certificates
      - ssl-certificates

...

ライセンス

MIT

著者情報

このロールは2019年に Christian Krause（GitHub では wookietreiber）と Dirk Sarpe（GitHub では dirks）によって作成されました。2人とも ドイツ統合生物多様性研究センター (iDiv) のシステム管理者で、Ben Langenberg（GitHub では sloan87）の草案に基づいています。