community.crypto.acme_certificate_deactivate_authz 模块 – 停用 ACME v2 订单的所有授权

注意

此模块是 community.crypto 集合(版本 2.22.3)的一部分。

如果您正在使用 ansible 包,您可能已经安装了这个集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install community.crypto。您需要进一步的要求才能使用此模块,有关详细信息,请参阅要求

要在 playbook 中使用它,请指定:community.crypto.acme_certificate_deactivate_authz

community.crypto 2.20.0 中的新增功能

概要

  • 停用 ACME v2 订单的所有身份验证对象 (authz),这实际上会停用(使无效)订单本身。

  • 身份验证对象绑定到帐户密钥,并在一定时间内保持有效,并且可以用于颁发证书,而无需重新验证域。这可能是一个安全问题。

  • 使用此模块的另一个原因是停用使用 include_renewal_cert_id 时处理失败的订单。

要求

以下要求需要在执行此模块的主机上满足。

参数

参数

注释

account_key_content

字符串

ACME 帐户 RSA 或椭圆曲线密钥的内容。

account_key_src 互斥。

如果未使用 account_key_src,则为必需。

警告:内容将被写入临时文件,该文件将在模块完成后由 Ansible 删除。由于这是一个重要的私钥——它可以用来更改帐户密钥,或者在不知道其私钥的情况下撤销您的证书——这可能是不可接受的。

如果使用 cryptography,则内容不会写入临时文件。仍然可能发生的情况是,在将模块及其参数移动到执行它的节点的过程中,Ansible 将其写入磁盘。

account_key_passphrase

字符串

在 community.crypto 1.6.0 中添加

用于解码帐户密钥的密码。

注意:openssl 后端不支持此功能,仅 cryptography 后端支持。

account_key_src

别名:account_key

路径

包含 ACME 帐户 RSA 或椭圆曲线密钥的文件的路径。

可以使用 community.crypto.openssl_privatekeycommunity.crypto.openssl_privatekey_pipe 模块创建私钥。如果必备项(密码学)不可用,也可以使用 openssl 命令行工具直接创建密钥:可以使用 openssl genrsa ... 创建 RSA 密钥。可以使用 openssl ecparam -genkey ... 创建椭圆曲线密钥。也可以使用任何其他以 PEM 格式创建私钥的工具。

account_key_content 互斥。

如果未使用 account_key_content,则为必需。

account_uri

字符串

如果指定,则假定帐户 URI 与给定 URI 相同。如果帐户密钥与此帐户不匹配,或者不存在具有此 URI 的帐户,则模块将失败。

acme_directory

字符串 / 必需

要使用的 ACME 目录。这是访问 ACME CA 服务器 API 的入口点 URL。

出于安全考虑,默认设置为 Let’s Encrypt 的测试服务器(用于 ACME v1 协议)。这将创建技术上正确但不受信任的证书。

关于 Let’s Encrypt,所有测试端点都可以在这里找到: https://letsencrypt.openssl.ac.cn/docs/staging-environment/。关于 Buypass,所有端点都可以在这里找到: https://community.buypass.com/t/63d4ay/buypass-go-ssl-endpoints

对于 Let’s Encrypt,ACME v2 的生产目录 URL 是 https://acme-v02.api.letsencrypt.org/directory

对于 Buypass,ACME v2 和 v1 的生产目录 URL 是 https://api.buypass.com/acme/directory

对于 ZeroSSL,ACME v2 的生产目录 URL 是 https://acme.zerossl.com/v2/DV90

对于 Sectigo,ACME v2 的生产目录 URL 是 https://acme-qa.secure.trust-provider.com/v2/DV

本模块的注释包含此模块已测试过的 ACME 服务列表。

acme_version

整数 / 必需

端点的 ACME 版本。

对于经典的 Let’s Encrypt 和 Buypass ACME 端点,必须为 1;对于标准化的 ACME v2 端点,必须为 2

自 community.crypto 2.0.0 起,值 1 已弃用,并将从 community.crypto 3.0.0 中删除。

选择

  • 1

  • 2

order_uri

字符串 / 必需

要停用的 ACME v2 订单。

可以从 order_uri 获取。

request_timeout

整数

在 community.crypto 2.3.0 中添加

Ansible 应该等待 ACME API 响应的时间。

此超时应用于所有 HTTP(S) 请求(HEAD、GET、POST)。

默认值: 10

select_crypto_backend

字符串

确定要使用的加密后端。

默认选择是 auto,它会尝试使用 cryptography(如果可用),并回退到 openssl

如果设置为 openssl,将尝试使用 openssl 二进制文件。

如果设置为 cryptography,将尝试使用 cryptography 库。

选择

  • "auto" ← (默认)

  • "cryptography"

  • "openssl"

validate_certs

布尔值

对 ACME 目录的调用是否验证 TLS 证书。

警告: 仅应出于测试目的将其设置为 false,例如在针对本地 Pebble 服务器进行测试时。

选择

  • false

  • true ← (默认)

属性

属性

支持

描述

action_group

操作组: community.crypto.acmeacme

module_defaults 中使用 group/acmegroup/community.crypto.acme 来为此模块设置默认值。

check_mode

支持: 完全

可以在 check_mode 中运行,并返回已更改的状态预测,而无需修改目标。

diff_mode

支持:

在差异模式下,将返回已更改(或可能需要在 check_mode 中更改)的详细信息。

注释

注意

  • 尽管默认值被选择为可以与 Let's Encrypt CA 一起使用,但该模块原则上可以与提供 ACME 端点的任何 CA 一起使用,例如 Buypass Go SSL

  • 到目前为止,ACME 模块仅由开发人员针对 Let’s Encrypt(测试和生产)、Buypass(测试和生产)、ZeroSSL(生产)和 Pebble 测试服务器 进行了测试。我们收到了社区的反馈,它们也适用于 Sectigo ACME Service for InCommon。如果您在使用其他 ACME 服务器时遇到问题,请创建一个问题,以帮助我们支持它。如果您发现未提及的 ACME 服务器可以正常工作,我们也表示感谢。

  • 如果 cryptography 库有足够新的版本可用(请参阅“要求”了解详细信息),则将使用它而不是 openssl 二进制文件。可以使用 select_crypto_backend 选项显式禁用或启用此功能。请注意,使用 openssl 二进制文件会更慢且安全性更低,因为私钥内容始终必须存储在磁盘上(请参阅 account_key_content)。

另请参阅

另请参阅

community.crypto.acme_certificate

使用 ACME 协议创建 SSL/TLS 证书。

示例

- name: Deactivate all authzs for an order
  community.crypto.acme_certificate_deactivate_authz:
    account_key_content: "{{ account_private_key }}"
    order_uri: "{{ certificate_result.order_uri }}"

作者

  • Felix Fontein (@felixfontein)