ansible-ha-letsencrypt

Let's Encrypt to darmowa usługa, która dostarcza certyfikaty SSL używane do szyfrowania end-to-end w internecie. Może być używana do zapewniania certyfikatów dla ruchu HTTPS, a także dla innych protokołów TLS.

Usługa ta głównie wymaga ważnej nazwy hosta, takiej jak my_house.duckdns.org, i generuje certyfikaty SSL przy użyciu Let's Encrypt. Oprócz uzyskania początkowych certyfikatów, zainstaluje również zadanie cron, aby upewnić się, że są one automatycznie odnawiane.

Podczas odnowienia, często trzeba zrestartować usługi takie jak nginx lub mosquitto, które mogą korzystać z certyfikatów do szyfrowania swojego ruchu TCP. Dostarczane są również zmienne, które pozwalają na automatyczne wykonanie takich akcji przed lub po aktualizacji.

Wymagania

To powinno działać na każdym systemie opartym na Debianie, ale zostało przetestowane na Raspberry Pi działającym na Hassbian.

Zmienne roli

• certbot_hostnames
  • Przykład: my_home.duckdns.org,grafana.myhome.duckdns.org
  • To lista nazw hostów oddzielona przecinkami, dla których zostanie wydany certyfikat SSL.
• certbot_pre_hook:
  • Przykład: systemctl stop nginx
  • To dowolna komenda powłoki, którą chcesz wykonać przed aktualizacją certyfikatu SSL.
• certbot_post_hook:
  • Przykład: systemctl restart mosquitto; systemctl start nginx
  • To dowolna komenda powłoki, którą chcesz wykonać po aktualizacji certyfikatów SSL.
• certbot_email:
  • Przykład: you@your-domain.com
  • To adres e-mail, na który będzie wysyłane powiadomienie, gdy certyfikat ma wkrótce wygasnąć (choć powinien być odnawiany automatycznie).
• force_new_cert:
  • wartość logiczna, która może być ustawiona, aby wymusić nowy certyfikat.

Zależności

Brak.

Przykład Playbooka

    - hosts: pi
      vars:
        certbot_hostnames: 'my_home.duckdns.org,grafana.myhome.duckdns.org'
        certbot_pre_hook: 'systemctl stop nginx'
        certbot_post_hook: 'systemctl restart mosquitto; systemctl start nginx'
      roles:
         - role: mpataki.ha-letsencrypt

Licencja

MIT