netzwirt.simple-pki
ansible-simple-pki
Ubuntu/Debian上でシンプルなPKIを作成します。主にPKI-Tutorialに基づいています。
要件
opensslとPKIに関する基本的な知識が必要です。
ロール変数
証明書のサブジェクト:
simplepki_domainComponent_tld: "com"
simplepki_domainComponent_domain: "example"
simplepki_organizationName: "Example Company Inc"
サーバーの証明書リクエスト:
simplepki_server_certs:
- { fqdn: 'example.com' }
- { fqdn: 'another.com', altnames: ['sub.another.com','mydomain.com']}
ユーザーの証明書リクエスト:
simplepki_user_certs:
- { username: 'fred', fullname: 'Fred Flintstone', email: '[email protected]' }
- { username: 'john', fullname: 'John Example', email: '[email protected]' }
証明書の取り消し:
simplepki_revocation_list:
- fred
- another.com
サーバー証明書のみを作成
ansible-playbook playbook.yml --tags=servercert
コマンドラインから証明書を更新
追加変数 simplepki_renew_certificates を渡します。この変数はコマンドライン引数としてのみ渡してください。
ansible-playbook --extra-vars '{"simplepki_renew_certificates": ["fred","john"]}'
コマンドラインから証明書を取り消し
追加変数 simplepki_revocation_list を渡します。
ansible-playbook --extra-vars '{"simplepki_revocation_list": ["fred","john"]}'
依存関係
なし
例のプレイブック
- hosts: pki
roles:
- { role: netzwirt.simple-pki }
取り消しチートシート
証明書を取り消す:
有効な取り消し理由のリスト:
unspecified
keyCompromise
CACompromise
affiliationChanged
superseded
cessationOfOperation
certificateHold
openssl ca -config etc/signing-ca.conf -revoke certs/fred.sha256.2048.crt -crl_reason unspecified
CRLを作成:
openssl ca -gencrl -config etc/signing-ca.conf -out crl/signing-ca.crl
CRLなしで証明書を確認:
openssl verify -verbose -CAfile ca/chained-ca.sha256.2048.crt certs/fred.sha256.2048.crt
CRLありで証明書を確認:
openssl verify -crl_check_all -verbose -CAfile ca/chained-ca.sha256.2048.crt \
-CRLfile crl/signing-ca.crl certs/fred.sha256.2048.crt
ライセンス
BSD
作者情報
インストール
ansible-galaxy install netzwirt.simple-pkiライセンス
Unknown
ダウンロード
116
所有者