自己署名証明書

このAnsibleロールは、自己署名証明書を生成するためのものです。その結果、ca、クライアント、サーバーの3つのpem証明書とキーが生成されます。さらに、クライアントとサーバーのために2つのpfx証明書も生成します。

一般変数

証明書ディレクトリ

self_signed_cert_dir: /etc/certs/

ここは、証明書が保存されるディレクトリです。

cfsslおよびcfssl_jsonのダウンロードURL

self_signed_cert_cfssl_url: https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
self_signed_cert_cfssl_json_url: https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

ダウンロードしたいcfsslおよびcfsslツールのバージョンを指定できます。

プロファイル

self_signed_cert_profiles:
  - name: server
    expirity: 8760h
    usages:
      - signing
      - key encipherment
      - server auth
      - client auth

cfsslは複数のプロファイルをサポートしています。各プロファイルには唯一の名前があります。失効日（expirity）は、このプロファイルを使用して生成された証明書の有効期限を決定します。用途（usages）は証明書の目的を決定します。許可される値は次のとおりです：

• キーの使用法：署名、デジタル署名、内容の拘束、キーの暗号化、キーの合意、データの暗号化、証明書の署名、CRLの署名、暗号化のみ、復号のみ
• 拡張キーの使用法：任意、サーバー認証、クライアント認証、コード署名、電子メール保護、S/MIME、IPsecエンドシステム、IPsecトンネル、IPsecユーザー、タイムスタンプ、OCSP署名、Microsoft SGC、Netscape SGC

証明書機関

self_signed_cert_ca_certs:
  - name: example-ca
    cn: example.com
    key_algo: rsa
    key_size: 2048
    country: EU
    location: Internet
    organisation: Example
    organisation_unit: IT
    state: internet
    trust_ca_cert: false

証明書機関のkey_algoは、ECDSA256またはRSAのいずれかです。trust_ca_certがtrueの場合、CA証明書を信頼されたルート証明書に追加します。

証明書

self_signed_cert_certs:
  - name: server
    profile: server
    ca_name: example-ca
    export_to_pfx: true
    cn: example.com
    hosts:
      - example.com
      - www.example.com
    key_algo: rsa
    key_size: 2048
    country: EU
    location: Internet
    organisation: Example
    organisation_unit: IT
    state: internet

サンプルプレイブック

- hosts: localhost
  become: yes
  roles:
    - self-signed-cert
  vars:
    self_signed_cert_cfssl_url: https://github.com/cloudflare/cfssl/releases/download/v1.4.1/cfssl_1.4.1_linux_amd64
    self_signed_cert_cfssl_json_url: https://github.com/cloudflare/cfssl/releases/download/v1.4.1/cfssljson_1.4.1_linux_amd64

    self_signed_cert_dir: /etc/certs/

    self_signed_cert_profiles:
      - name: server
        expirity: 8760h
        usages:
          - signing
          - key encipherment
          - server auth
          - client auth
      - name: client
        expirity: 8760h
        usages:
          - signing
          - key encipherment
          - client auth

    self_signed_cert_ca_certs:
      - name: example-ca
        cn: example.com
        key_algo: rsa
        key_size: 2048
        country: EU
        location: Internet
        organisation: Example
        organisation_unit: IT
        state: internet
        trust_ca_cert: false

    self_signed_cert_certs:
      - name: server
        profile: server
        ca_name: example-ca
        export_to_pfx: true
        cn: example.com
        hosts:
          - example.com
          - www.example.com
        key_algo: rsa
        key_size: 2048
        country: EU
        location: Internet
        organisation: Example
        organisation_unit: IT
        state: internet
      - name: client
        profile: client
        ca_name: example-ca
        export_to_pfx: true
        cn: example.com
        hosts:
          - example.com
          - www.example.com
        key_algo: rsa
        key_size: 2048
        country: EU
        location: Internet
        organisation: Example
        organisation_unit: IT
        state: internet