chrisvanmeer.certmonitor
ansible-role-certmonitor
Rola do monitorowania wygasania certyfikatów na dowolnym hoście.
Wymagania
Brak wymagań.
Zmienne roli
Dostępne zmienne są wymienione poniżej, wraz z wartościami domyślnymi (patrz defaults/main.yml):
certmonitor_include_paths_global:
- /etc/pki
- /etc/ssl
- /opt
Domyślne ścieżki, które będziemy sprawdzać. Zostaną połączone z zmiennymi _group i _host.
certmonitor_include_paths_group: []
Opcjonalne dodanie ścieżek na poziomie grupy.
certmonitor_include_paths_host: []
Opcjonalne dodanie ścieżek na poziomie hosta.
certmonitor_include_patterns_global:
- '.*\.crt$'
- '.*\.pem$'
Wzorce regex, które będą sprawdzane dla nazw plików. Zostaną połączone z zmiennymi _group i _host.
certmonitor_include_patterns_group: []
Opcjonalne dodanie wzorców na poziomie grupy.
certmonitor_include_patterns_host: []
Opcjonalne dodanie wzorców na poziomie hosta.
certmonitor_exclude_patterns_global:
- '/etc/pki/product-default/.*\.pem$'
- '/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt'
- '/etc/pki/ca-trust/extracted/pem/.*\.pem$'
- '/etc/pki/fwupd.*\.pem$'
- '/etc/pki/consumer/.*\.pem$'
- '/etc/pki/entitlement/.*\.pem$'
- '/etc/pki/nginx/dhparam.pem'
- '/etc/pki/tls/certs/localhost.crt'
- '.*-key\.pem$'
- '.*\.key\.pem$'
Wzorce regex, które będą wykluczane z inspekcji. Głównie domyślne certyfikaty i klucze prywatne. Zostaną połączone z zmiennymi _group i _host.
certmonitor_exclude_patterns_group: []
Opcjonalne dodanie wzorców wykluczających na poziomie grupy.
certmonitor_exclude_patterns_host: []
Opcjonalne dodanie wzorców wykluczających na poziomie hosta.
certmonitor_validity_check: "+2w"
Sprawdzenie ważności certyfikatów określone w tygodniach od teraz. Domyślnie używamy "+2w", aby zgłaszać certyfikaty, które wygasną w ciągu najbliższych dwóch tygodni.
certmonitor_email_enabled: false
Domyślne raportowanie e-mailowe jest wyłączone, ustaw to na true, aby włączyć.
certmonitor_email_subject: "Wygasające certyfikaty TLS"
Temat e-maila przy wysyłaniu raportów e-mailowych.
certmonitor_email_subtype: "html"
Ustawienie typu MIME e-maila na html. Może być również ustawione na plain. Można zmodyfikować szablon według własnych upodobań.
Dostępne są również inne zmienne w sekcji e-mail. Sprawdź ostatnie zadanie w playbooku w tym celu. Jeśli takich zmiennych nie ma, zostaną pominięte, ale daje to możliwość ich uwzględnienia jako zmienne, zamiast edytować playbook.
certmonitor_local_reporting: false
Jeśli raportowanie lokalne jest włączone, plik zostanie napisany w lokalizacji określonej nazwą podmiotu certyfikatu. W tym pliku zostanie zapisana lokalizacja pliku. Może być użyte przez system monitorujący, taki jak Zabbix, do wyzwolenia na podstawie istnienia tego pliku i posiadania lokalizacji pliku.
certmonitor_local_reporting_path: /tmp/certmonitor
Lokalizacja, w której pliki zostaną zapisane, jeśli raportowanie lokalne jest włączone.
Zależności
Do inspekcji certyfikatów ta rola zależy od modułu community.crypto.x509_certificate_info.
Do wysyłania e-maili ta rola zależy od modułu community.general.mail.
Przykład Playbooka
Zar включение примера, как использовать вашу роль (например, с параметрами, переданными в параметрах) всегда приятно для пользователей:
- name: Monitorowanie certyfikatów
hosts: all
become: true
vars:
certmonitor_email_enabled: true
certmonitor_email_subject: "Wygasające certyfikaty TLS"
certmonitor_email_sender: "[email protected]"
certmonitor_email_recipient: "[email protected]"
certmonitor_smtp_server: "smtp.twojadomena.com"
certmonitor_smtp_port: 25
roles:
- role: chrisvanmeer.certmonitor
Licencja
BSD
Informacje o autorze
- Chris van Meer c.v.meer@atcomputing.nl
ansible-galaxy install chrisvanmeer.certmonitor