triton-dehydrated

triton-dehydratedをインストールして設定し、Let's Encryptの証明書を生成するためのAnsibleプレイブックです。

要件

このプレイブックは、Tritonで作成された仮想インスタンスでのみ動作します。Joyentが提供する任意のイメージは、正常に動作することが期待されます。

Tritonデータセンターは、CNSが設定されており、グローバルに解決可能でなければなりません。

triton-ansible-inventoryモジュールも役立つ可能性がありますが、必須ではありません。

ロール変数

このロールには、以下のプロパティをサポートするletsencryptオブジェクトが必要です。プロパティは省略可能で、適切なデフォルト値が使用されます。証明書を発行するには、少なくともdomains、suffix_domains、ecesa_domains、ecdsa_suffix_domainsのいずれかが必要です。提供されない場合、dehydratedはインストールされ設定されますが、すぐに終了します。

• ca: $prod_caまたは$staging_ca、または有効なLet's Encrypt CA URLでなければなりません。デフォルトは$staging_caです。開発中は、レートリミットの上限に達しないようにこれを$staging_caに設定しておいてください。本番環境に展開する準備ができたら、$prod_caに変更します。
• certdir: 証明書が出力されるディレクトリ。デフォルトは/opt/sslです。
• contact: Let's Encryptアカウントのメールアドレス。
• domains: 発行するRSA証明書の配列。各要素は発行された証明書になります。追加のSAN名はスペースで区切られます。
• ecdsa_domains: 発行するECDSA証明書の配列。その他はdomainsと同様です。
• ecdsa_suffix_domains: ECDSA証明書のドメインサフィックスの配列です。つまり、ホスト名が各名前の前に追加され、証明書が生成されます。
• owner: UNIXファイルの所有権。デフォルトはroot:rootです。これはchownに渡されます。
• restart_services: 再起動されるサービスの配列。
• suffix_domains: RSA証明書のドメインサフィックスの配列です。つまり、ホスト名が各名前の前に追加され、証明書が生成されます。
• well_known: Let's EncryptのWELLKNOWNディレクトリ。デフォルトは/var/www/dehydratedです。

さらに、必要に応じて上位レベルのtriton_dehydrated_versionとtriton_dehydrated_download_url変数も上書きできます。

依存関係

このプレイブックは、Joyentが公開した任意のイメージで、CNS名がグローバルに解決可能なTriton上で動作するはずです。

例プレイブック

    - hosts: servers
      roles:
        - role: joyent.triton-dehydrated
      vars:
        letsencrypt:
          ca: "$prod_ca"
          contact: "[email protected]"
          domains:
            - www.example.com api.backend.example.com
          restart_services:
            - nginx

ライセンス

MPL-2.0。このリポジトリ内のLICENSE.txtを参照してください。

作者情報

著作権 2021 Joyent, Inc.