Acme-Tiny サイン

これは「Let's Encrypt」を使用してデジタル証明書を取得するための ansible ロールです。このロールは ganto.acme_tiny というロールに強く影響されています。感謝します ganto！

このロールは、ウェブからアクセスできるシステムで実行されることを目的としています。既存の CSR（inofix.acme-request を参照）を使って「Let's Encrypt」にリクエストを行い、サーバーのウェルノウンウェブフォルダでチャレンジを解決し、その結果の証明書を OpenSSL 設定ディレクトリに配置します。

他の 2 つのロール、inofix.acme-tiny-install と inofix.acme-tiny-request が必要です。後者は、プライベートキーと証明書リクエストを生成するために、別のリモートホストで実行される可能性があります。

なぜ既存のロールを使用しないのか？

• 最初の理由は、下の「約束」のセクションを読んでください。信頼できるものが必要です。
• このロールは、特権のないユーザーとしてウェブに接続します。
• このロールは、特権のない acme ユーザーにプライベートキーのファイルを露出させません。
• この証明書リクエストは、プライベートキーが証明書をリクエストするホストには置かれないように、inofix.acme-tiny-setup を介してリモートマシンで行うことができます。
• このロールは maestro で使用され、そこに使用されるロジックに従う必要があります。（もちろん、maestroなしでも使用できます..）

ステータス

preSTABLE（フィーチャーフリーズ/RC）

約束

確かに、このロールは将来的に変更される可能性がありますが、後方互換性を壊さないように機能を拡張するだけです。

根本的な変更が必要な場合は、新しいロールが作成されるでしょう。おそらく「ng」やバージョンサフィックスを付けて…

インストール

ansible-galaxy install inofix.acme-tiny-sign

要件

• Ansible >2.0
• 対象ホストでは
• FHS に準拠した一般的な UNIX
• Python2/3
• OpenSSL
• Sudo
• ^/.well-known/acme-challenge/ ディレクトリがアクセス可能な実行中のウェブサーバー（acme-tiny スクリプトにハードコーディングされています..）
• ウェブサーバーは、後続の証明書のためにも HTTP を提供しなければなりません（HTTPS だけではなく; acme-tiny/Let's Encrypt の要件）
• 証明書のすべての名前を localhost またはローカル IP に解決する

ロール変数

• app__acme__user - 任意、デフォルト='acme'
• app__acme__group - 任意、デフォルト='acme'
• app__acme__os__cert_group - 任意、デフォルト='{{ default__acme__group }}'
• app__acme__config_dir - 任意、デフォルト='/etc/ssl/acme'
• app__acme__account_key - 任意、自動
• app__acme__challenge_dir - 任意、デフォルト='/var/www/acme-challenge'
• app__acme__domain - 任意、デフォルト=[ {domain='example.com'} ]
• fqdn - 任意、デフォルト={{ ansible_fqdn | d(inventory_hostname) }}

依存関係

• inofix.acme-tiny-install
• (inofix.acme-setup)
• inofix.acme-request
• (inofix.acme-setup)

サンプルプレイブック

- hosts: servers
  roles:
     - inofix.acme-tiny-sign

（inofix.acme-setup を参照）

ライセンス

GPLv3

著者情報

• Michael Lustenberger at inofix.ch