netzwirt.simple-pki

Przegląd Wersje Wgląd

ansible-simple-pki

Utwórz prostą infrastrukturę PKI na Ubuntu/Debian. Głównie oparta na PKI-Tutorial

Wymagania

Podstawowa wiedza o openssl i PKI.

Zmienne roli

Podmiot certyfikatu:

simplepki_domainComponent_tld: "com"
simplepki_domainComponent_domain: "example"
simplepki_organizationName: "Firma Przykład Sp. z o.o."

Żądania certyfikatów serwerów:

simplepki_server_certs:
- { fqdn: 'example.com' }
- { fqdn: 'anothor.com', altnames: ['sub.another.com','mydomain.com'] }

Żądania certyfikatów użytkowników:

simplepki_user_certs:
- { username: 'fred', fullname: 'Fred Flintstone', email: '[email protected]' }
- { username: 'john', fullname: 'John Example', email: '[email protected]' }

Unieważnienie certyfikatów:

simplepki_revocation_list:
- fred
- anothor.com

Tworzenie tylko certyfikatów serwerów

ansible-playbook playbook.yml --tags=servercert

Odnawianie certyfikatów z linii poleceń

Przekaż dodatkową zmienną simplepki_renew_certificates. Ta zmienna powinna być przekazywana tylko jako argument z linii poleceń.

ansible-playbook --extra-vars '{"simplepki_renew_certificates": ["fred","john"]}'

Unieważnianie certyfikatów z linii poleceń

Przekaż dodatkową zmienną simplepki_revocation_list.

ansible-playbook --extra-vars '{"simplepki_revocation_list": ["fred","john"]}'

Zależności

Brak

Przykładowy playbook

- hosts: pki
  roles:
     - { role: netzwirt.simple-pki }

Notatnik dotyczący unieważnienia

Unieważnienie certyfikatu:

Lista ważnych powodów unieważnienia:

  • nieokreślony

  • kompromitacja klucza

  • kompromitacja CA

  • zmiana przynależności

  • zastąpienie

  • zaprzestanie działalności

  • wstrzymanie certyfikatu

    openssl ca -config etc/signing-ca.conf -revoke certs/fred.sha256.2048.crt -crl_reason unspecified

Tworzenie CRL:

openssl ca -gencrl -config etc/signing-ca.conf -out crl/signing-ca.crl

Sprawdzenie certyfikatu bez CRL:

openssl verify -verbose -CAfile ca/chained-ca.sha256.2048.crt certs/fred.sha256.2048.crt

Sprawdzenie certyfikatu z CRL:

openssl verify -crl_check_all -verbose -CAfile ca/chained-ca.sha256.2048.crt \
         -CRLfile crl/signing-ca.crl  certs/fred.sha256.2048.crt

Licencja

BSD

Informacje o autorze

netzwirt

O projekcie

Simple PKI for Ubuntu/Debian

role cryptography networking security system
Zainstaluj
ansible-galaxy install netzwirt.simple-pki
GitHub repozytorium
4 gwiazdki
9 forki
1 otwarte zgłoszenia
Licencja
Unknown
Pobrania
116
Właściciel