keystores
Opencore.Keystores
Эта роль упрощает настройку инфраструктуры PKI и подписывание серверных и пользовательских сертификатов с помощью этой инфраструктуры.
Для более подробного введения смотрите этот блог пост .
Требования
Эта роль не предназначена для выполнения на многих хостах и внесения изменений на этих хостах. Вместо этого её следует запускать на локальном хосте и генерировать там файлы на основе информации из инвентаря. Поэтому локальный (или удаленный, если запущен на другом) хост должен предоставлять следующее ПО в качестве предварительных условий:
- OpenSSL
- Java (для команды keytool)
Переменные роли
Роль имеет одну обязательную переменную, которую необходимо установить для её работы: KEYSTORE_BASE_DIR: Это будет базовый путь, относительно которого будут созданы все файлы. Если эта роль используется из обертки скрипта, она автоматически будет установлена на текущую директорию.
Для настройки роли доступны следующие параметры:
Переменная | Описание | По умолчанию |
---|---|---|
CLIENT_CERTIFICATES | Список имен пользователей, для которых будут созданы сертификаты клиентов. | ["user1", "user2"] |
CERTIFICATE_VALID_DAYS | Количество дней, в течение которых сертификаты будут действительны. | 365 |
KEY_VALID_DAYS | Количество дней, в течение которых ключи будут действительны. | 10000 |
SSL_STORE_PASSWORD | Пароль для файлов хранилища ключей. | secret |
SSL_KEY_PASSWORD | Пароль для ключей в хранилищах ключей. | secret |
FORCE_CA | Если установлено в true, все существующие файлы для данного инвентаря будут удалены, и будет сгенерирован совершенно новый набор CA, пользовательских и серверных файлов. | false |
FORCE_CERTS | Если установлено в true, файлы CA будут сохранены, но все пользовательские и серверные ключи и сертификаты будут сгенерированы заново. Полезно, если ваши пользовательские сертификаты истекли, и вы хотите сгенерировать их заново от той же CA. | false |
DOMAIN | Используется для свойств сертификата. | OPENCORE.COM |
O | Используется для свойств сертификата. | OpenCore |
C | Используется для свойств сертификата. | DE |
ST | Используется для свойств сертификата. | SH |
L | Используется для свойств сертификата. | Wedel |
OU | Используется для свойств сертификата. | Internal |
KEYSTORE_DIR | Путь к директории, которая будет содержать хранилища ключей. Обычно не требуется менять это. | |
CA_DIR | Путь к директории, которая будет содержать файлы CA. Обычно не требуется менять это. | |
CERT_DIR | Путь к директории, которая будет содержать промежуточные сертификаты и файлы CSR. Обычно не требуется менять это. |
Зависимости
У роли нет прямых зависимостей от других ролей.
Пример плейбука
Всегда приятно для пользователей видеть пример использования вашей роли (например, с переменными, переданными в качестве параметров):
- hosts: localhost
roles:
- opencore.keystores
Лицензия
BSD
ansible-galaxy install opencore/ansible_keystores