opencore.keystores
Opencore.Keystores
Эта роль упрощает настройку инфраструктуры PKI и подписывание серверных и пользовательских сертификатов с помощью этой инфраструктуры.
Для более подробного введения смотрите этот блог пост .
Требования
Эта роль не предназначена для выполнения на многих хостах и внесения изменений на этих хостах. Вместо этого её следует запускать на локальном хосте и генерировать там файлы на основе информации из инвентаря. Поэтому локальный (или удаленный, если запущен на другом) хост должен предоставлять следующее ПО в качестве предварительных условий:
- OpenSSL
- Java (для команды keytool)
Переменные роли
Роль имеет одну обязательную переменную, которую необходимо установить для её работы: KEYSTORE_BASE_DIR: Это будет базовый путь, относительно которого будут созданы все файлы. Если эта роль используется из обертки скрипта, она автоматически будет установлена на текущую директорию.
Для настройки роли доступны следующие параметры:
| Переменная | Описание | По умолчанию |
|---|---|---|
| CLIENT_CERTIFICATES | Список имен пользователей, для которых будут созданы сертификаты клиентов. | ["user1", "user2"] |
| CERTIFICATE_VALID_DAYS | Количество дней, в течение которых сертификаты будут действительны. | 365 |
| KEY_VALID_DAYS | Количество дней, в течение которых ключи будут действительны. | 10000 |
| SSL_STORE_PASSWORD | Пароль для файлов хранилища ключей. | secret |
| SSL_KEY_PASSWORD | Пароль для ключей в хранилищах ключей. | secret |
| FORCE_CA | Если установлено в true, все существующие файлы для данного инвентаря будут удалены, и будет сгенерирован совершенно новый набор CA, пользовательских и серверных файлов. | false |
| FORCE_CERTS | Если установлено в true, файлы CA будут сохранены, но все пользовательские и серверные ключи и сертификаты будут сгенерированы заново. Полезно, если ваши пользовательские сертификаты истекли, и вы хотите сгенерировать их заново от той же CA. | false |
| DOMAIN | Используется для свойств сертификата. | OPENCORE.COM |
| O | Используется для свойств сертификата. | OpenCore |
| C | Используется для свойств сертификата. | DE |
| ST | Используется для свойств сертификата. | SH |
| L | Используется для свойств сертификата. | Wedel |
| OU | Используется для свойств сертификата. | Internal |
| KEYSTORE_DIR | Путь к директории, которая будет содержать хранилища ключей. Обычно не требуется менять это. | |
| CA_DIR | Путь к директории, которая будет содержать файлы CA. Обычно не требуется менять это. | |
| CERT_DIR | Путь к директории, которая будет содержать промежуточные сертификаты и файлы CSR. Обычно не требуется менять это. |
Зависимости
У роли нет прямых зависимостей от других ролей.
Пример плейбука
Всегда приятно для пользователей видеть пример использования вашей роли (например, с переменными, переданными в качестве параметров):
- hosts: localhost
roles:
- opencore.keystores
Лицензия
BSD
ansible-galaxy install opencore.keystores