Nota

Este complemento es parte del colección community.crypto (versión 1.4.0).

Para instalarlo use: ansible-galaxy collection install community.crypto.

Para usarlo en un libro de jugadas, especifique: community.crypto.openssl_pkcs12.

  • Sinopsis
  • Requisitos
  • Parámetros
  • Ver también
  • Ejemplos de
  • Valores devueltos

Sinopsis

  • Este módulo permite (re) generar PKCS # 12.

Requisitos

Los siguientes requisitos son necesarios en el host que ejecuta este módulo.

  • python-pyOpenSSL

Parámetros

Parámetro Opciones / Valores predeterminados Comentarios
accióncuerda
    Opciones:

  • exportar
  • analizar gramaticalmente
export o parse un PKCS # 12.
atributoscuerda agregado en 2.3 de ansible.builtin Los atributos que debe tener el archivo o directorio resultante. Para obtener indicadores compatibles, consulte la página de manual para chattr en el sistema de destino Esta cadena debe contener los atributos en el mismo orden que el mostrado por lsattr.Los = El operador se asume como predeterminado, de lo contrario + o - los operadores deben incluirse en la cadena.
alias: attr
respaldobooleano
    Opciones:

  • no
Cree un archivo de respaldo que incluya una marca de tiempo para que pueda recuperar el archivo de salida original si lo sobrescribe con uno nuevo por accidente.
ruta_certificadosendero La ruta para leer certificados y claves privadas debe estar en formato PEM.
fuerzabooleano
    Opciones:

  • no
¿Debería regenerarse el archivo incluso si ya existe?
nombre amigablecuerda Especifica el nombre descriptivo del certificado y la clave privada.
alias: nombre
grupocuerda Nombre del grupo que debería ser propietario del archivo / directorio, como se enviaría a chown.
iter_sizeentero Defecto:
2048
Número de veces que se repite el paso de cifrado.
maciter_sizeentero Defecto:
1
Número de veces que se repite el paso MAC.
modocrudo Los permisos que debe tener el archivo o directorio resultante. / usr / bin / chmod recuerde que los modos son en realidad números octales. Debe agregar un cero a la izquierda para que el analizador YAML de Ansible sepa que es un número octal (como 0644 o 01777) o citarlo (como '644' o '1777') para que Ansible reciba una cadena y pueda hacer su propia conversión de cadena a número. Dar a Ansible un número sin seguir una de estas reglas terminará con un número decimal que tendrá resultados inesperados. A partir de Ansible 1.8, se puede especificar el modo como modo simbólico (por ejemplo, u+rwx o u=rw,g=r,o=r).Si mode no se especifica y el archivo de destino no existe, el predeterminado umask en el sistema se utilizará al configurar el modo para el archivo recién creado. mode no se especifica y el archivo de destino lo hace existe, se utilizará el modo del archivo existente. mode es la mejor manera de garantizar que los archivos se creen con los permisos correctos. Consulte CVE-2020-1736 para obtener más detalles.
otros_certificadoslista / elementos = camino Lista de otros certificados para incluir. Pre Ansible 2.8 este parámetro se llamaba ca_certificates. Supone que hay un certificado codificado en PEM por archivo. Si un archivo contiene varios certificados PEM, establezca other_certificates_parse_all para true.
alias: ca_certificates
other_certificates_parse_allbooleano agregado en 1.4.0 de community.crypto
    Opciones:

  • no
Si se establece en true, asume que los archivos mencionados en otros_certificados puede contener más de un certificado por archivo (o incluso ninguno por archivo).
dueñocuerda Nombre del usuario que debería ser propietario del archivo / directorio, como se enviaría a chown.
frase de contraseñacuerda La contraseña PKCS # 12.
senderosendero / requerido Nombre de archivo para escribir el archivo PKCS # 12.
privatekey_passphrasecuerda Fuente de frase de contraseña para descifrar cualquier clave privada de entrada con.
ruta_clave_privadasendero Archivo para leer la clave privada.
return_contentbooleano agregado en 1.0.0 de community.crypto
    Opciones:

  • no
Si se establece en yes, devolverá el contenido de PKCS # 12 (actual o generado) como pkcs12.
selevelcuerda La parte de nivel del contexto del archivo SELinux. Este es el atributo MLS / MCS, a veces conocido como range.Cuando se establece en _default, usará el level parte de la póliza si está disponible.
serolacuerda El rol parte del contexto del archivo SELinux. _default, usará el role parte de la póliza si está disponible.
setypecuerda La parte de tipo del contexto del archivo SELinux. _default, usará el type parte de la póliza si está disponible.
seusercuerda La parte del usuario del contexto del archivo SELinux. system política, cuando corresponda. _default, usará el user parte de la póliza si está disponible.
srcsendero Ruta del archivo PKCS # 12 para analizar.
estadocuerda
    Opciones:

  • ausente
  • regalo
Si el archivo debería existir o no. Todos los parámetros excepto path se ignoran cuando el estado es absent.
unsafe_writesbooleano agregado en 2.2 de ansible.builtin
    Opciones:

  • no
Influir en el momento de utilizar la operación atómica para evitar la corrupción de datos o lecturas inconsistentes del archivo de destino. De forma predeterminada, este módulo utiliza operaciones atómicas para evitar la corrupción de datos o lecturas inconsistentes de los archivos de destino, pero a veces los sistemas están configurados o simplemente dañados de manera que evitan esto. . Un ejemplo son los archivos montados en la ventana acoplable, que no se pueden actualizar atómicamente desde el interior del contenedor y solo se pueden escribir de manera insegura. Esta opción permite que Ansible recurra a métodos inseguros para actualizar archivos cuando fallan las operaciones atómicas (sin embargo, no lo hace) forzar a Ansible a realizar escrituras inseguras). Las escrituras no seguras están sujetas a condiciones de carrera y pueden provocar daños en los datos.

Ver también

Ver también

community.crypto.x509_certificate

La documentación oficial sobre el community.crypto.x509_certificate módulo.

community.crypto.openssl_csr

La documentación oficial sobre el community.crypto.openssl_csr módulo.

community.crypto.openssl_dhparam

La documentación oficial sobre el community.crypto.openssl_dhparam módulo.

community.crypto.openssl_privatekey

La documentación oficial sobre el community.crypto.openssl_privatekey módulo.

community.crypto.openssl_publickey

La documentación oficial sobre el community.crypto.openssl_publickey módulo.

Ejemplos de

-name: Generate PKCS#12 filecommunity.crypto.openssl_pkcs12:action: export
    path: /opt/certs/ansible.p12
    friendly_name: raclette
    privatekey_path: /opt/certs/keys/key.pem
    certificate_path: /opt/certs/cert.pem
    other_certificates: /opt/certs/ca.pem
    # Note that if /opt/certs/ca.pem contains multiple certificates,# only the first one will be used. See the other_certificates_parse_all# option for changing this behavior.state: present

-name: Generate PKCS#12 filecommunity.crypto.openssl_pkcs12:action: export
    path: /opt/certs/ansible.p12
    friendly_name: raclette
    privatekey_path: /opt/certs/keys/key.pem
    certificate_path: /opt/certs/cert.pem
    other_certificates_parse_all:trueother_certificates:- /opt/certs/ca_bundle.pem
        # Since we set other_certificates_parse_all to true, all# certificates in the CA bundle are included and not just# the first one.- /opt/certs/intermediate.pem
        # In case this file has multiple certificates in it,# all will be included as well.state: present

-name: Change PKCS#12 file permissioncommunity.crypto.openssl_pkcs12:action: export
    path: /opt/certs/ansible.p12
    friendly_name: raclette
    privatekey_path: /opt/certs/keys/key.pem
    certificate_path: /opt/certs/cert.pem
    other_certificates: /opt/certs/ca.pem
    state: present
    mode:'0600'-name: Regen PKCS#12 filecommunity.crypto.openssl_pkcs12:action: export
    src: /opt/certs/ansible.p12
    path: /opt/certs/ansible.p12
    friendly_name: raclette
    privatekey_path: /opt/certs/keys/key.pem
    certificate_path: /opt/certs/cert.pem
    other_certificates: /opt/certs/ca.pem
    state: present
    mode:'0600'force: yes

-name: Dump/Parse PKCS#12 filecommunity.crypto.openssl_pkcs12:action: parse
    src: /opt/certs/ansible.p12
    path: /opt/certs/ansible.pem
    state: present

-name: Remove PKCS#12 filecommunity.crypto.openssl_pkcs12:path: /opt/certs/ansible.p12
    state: absent

Valores devueltos

Los valores de retorno comunes están documentados aquí, los siguientes son los campos exclusivos de este módulo:

Llave Devuelto Descripción
archivo de respaldocuerda cambiado y si respaldo es yes Nombre del archivo de respaldo creado.
Muestra:/camino a/[email protected]: 22 ~
nombre del archivocuerda cambiado o exitoso Ruta al archivo generar PKCS # 12.
Muestra:/opt/certs/ansible.p12
pkcs12cuerdaagregado en 1.0.0 de community.crypto si estado es present y return_content es yes El contenido de PKCS # 12 (actual o generado) codificado en Base64.
llave privadacuerda cambiado o exitoso Ruta a la clave privada TLS / SSL desde la que se generó la clave pública.
Muestra:/etc/ssl/private/ansible.com.pem

Autores

  • Guillaume Delpierre (@gdelpierre)