ansible-ha-letsencrypt

Let's Encrypt は、インターネット上でのエンドツーエンド暗号化に使用されるSSL証明書を提供する無料のサービスです。これは、HTTPSトラフィックやその他のTLSプロトコルに対する証明書を提供するために使用できます。

このサービスは、my_house.duckdns.org のような有効なホスト名を消費し、Let's Encryptを使用してSSL証明書を生成します。初期証明書を取得するだけでなく、自動的に更新されるようにcronジョブもインストールします。

更新時には、証明書を使用してTCPトラフィックを暗号化しているnginxやmosquittoなどのサービスを再起動することが一般的です。これらの前後フックのような処理を自動的に行うための変数も提供されています。

要件

実際には、Debianベースのシステムであればどれでも動作するはずですが、Hassbianを実行しているRaspberry Piでテストされています。

ロール変数

• certbot_hostnames
  • 例: my_home.duckdns.org,grafana.myhome.duckdns.org
  • これはSSL証明書が発行されるホスト名のカンマ区切りリストです。
• certbot_pre_hook:
  • 例: systemctl stop nginx
  • これはSSL証明書の更新前に実行したいシェルコマンドです。
• certbot_post_hook:
  • 例: systemctl restart mosquitto; systemctl start nginx
  • これはSSL証明書を更新した後に実行したいシェルコマンドです。
• certbot_email:
  • 例: [email protected]
  • これは証明書が期限切れになりそうなときに通知が送られるメールアドレスです（自動的に更新されるべきですが）。
• force_new_cert:
  • 新しい証明書を強制的に取得するために設定できるブール値です。

依存関係

なし。

例 プレイブック

    - hosts: pi
      vars:
        certbot_hostnames: 'my_home.duckdns.org,grafana.myhome.duckdns.org'
        certbot_pre_hook: 'systemctl stop nginx'
        certbot_post_hook: 'systemctl restart mosquitto; systemctl start nginx'
      roles:
         - role: mpataki.ha-letsencrypt

ライセンス

MIT