simple-pki

Обзор Версии Аналитика

ansible-simple-pki

Создание простой PKI на Ubuntu/Debian. В основном основано на PKI-Tutorial

Требования

Некоторые базовые знания по openssl и PKI.

Переменные роли

Тема сертификата:

simplepki_domainComponent_tld: "com"
simplepki_domainComponent_domain: "example"
simplepki_organizationName: "Пример Компания Инк."

Запросы на сертификаты серверов:

simplepki_server_certs:
- { fqdn: 'example.com' }
- { fqdn: 'anothor.com', altnames: ['sub.another.com','mydomain.com']}

Запросы на сертификаты пользователей:

simplepki_user_certs:
- { username: 'fred', fullname: 'Фред Флинтстоун', email: '[email protected]' }
- { username: 'john', fullname: 'Джон Пример', email: '[email protected]' }

Отзыв сертификатов:

simplepki_revocation_list:
- fred
- anothor.com

Создать только серверные сертификаты

ansible-playbook playbook.yml --tags=servercert

Обновить сертификаты из командной строки

Передайте дополнительную переменную simplepki_renew_certificates. Эта переменная должна передаваться только как аргумент командной строки.

ansible-playbook --extra-vars '{"simplepki_renew_certificates": ["fred","john"]}'

Отозвать сертификаты из командной строки

Передайте дополнительную переменную simplepki_revocation_list.

ansible-playbook --extra-vars '{"simplepki_revocation_list": ["fred","john"]}'

Зависимости

Нет

Пример плейбука

- hosts: pki
  roles:
     - { role: netzwirt.simple-pki }

Справочник по отзыва сертификатов

Отмена сертификата:

Список действительных причин для отзыва:

  • неопределенная

  • компрометация ключа

  • компрометация CA

  • изменение аффилиации

  • заменённый

  • прекращение деятельности

  • удержание сертификата

    openssl ca -config etc/signing-ca.conf -revoke certs/fred.sha256.2048.crt -crl_reason неопределенная

Создание CRL:

openssl ca -gencrl -config etc/signing-ca.conf -out crl/signing-ca.crl

Проверка сертификата без CRL:

openssl verify -verbose -CAfile ca/chained-ca.sha256.2048.crt certs/fred.sha256.2048.crt

Проверка сертификата с CRL:

openssl verify -crl_check_all -verbose -CAfile ca/chained-ca.sha256.2048.crt \
         -CRLfile crl/signing-ca.crl  certs/fred.sha256.2048.crt

Лицензия

BSD

Информация об авторе

netzwirt

О проекте

Simple PKI for Ubuntu/Debian

role cryptography networking security system
Установить
ansible-galaxy install netzwirt/ansible-simple-pki
GitHub репозиторий
4 звезд(ы)
9 форк(ов)
1 открытых задач
Лицензия
Unknown
Загрузки
106
Владелец