community.crypto.openssl_privatekey_convert 模块 – 转换 OpenSSL 私钥

注意

此模块是 community.crypto 集合(版本 2.22.3)的一部分。

如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install community.crypto。您需要更多要求才能使用此模块,请参阅要求了解详细信息。

要在 playbook 中使用它,请指定:community.crypto.openssl_privatekey_convert

community.crypto 2.1.0 中的新增功能

概要

  • 此模块允许转换 OpenSSL 私钥。

  • 如果未显式设置 mode,私钥文件的默认模式将为 0600

要求

以下要求需要在执行此模块的主机上满足。

  • cryptography >= 1.2.3(较旧的版本可能也可以工作)

参数

参数

注释

attributes

别名: attr

字符串

结果文件系统对象应具有的属性。

要获取支持的标志,请查看目标系统上 chattr 的手册页。

此字符串应包含与 lsattr 显示的顺序相同的属性。

默认情况下假定使用 = 运算符,否则需要在字符串中包含 +- 运算符。

backup

布尔值

创建一个包含时间戳的备份文件,以便在您不小心使用新的私钥覆盖它时,可以取回原始私钥。

选项

  • false ← (默认)

  • true

dest_passphrase

字符串

要存储的私钥的密码。

dest_path

路径 / 必需

将在其中写入生成的 TLS/SSL 私钥的文件的名称。如果未显式设置 mode,它将具有 0600 模式。

format

字符串 / 必需

确定应以哪种格式写入目标私钥。

请注意,并非每个密钥都可以导出为任何格式,并且并非每个格式都支持加密。

选项

  • "pkcs1"

  • "pkcs8"

  • "raw"

group

字符串

应拥有文件系统对象的所有者的组的名称,就像提供给 chown 的一样。

如果未指定,则使用当前用户的当前组,除非您是 root 用户,在这种情况下,它可以保留以前的所有权。

mode

任何

结果文件系统对象应具有的权限。

对于那些习惯使用 /usr/bin/chmod 的人来说,请记住模式实际上是八进制数字。您必须为 Ansible 提供足够的信息以正确解析它们。为了获得一致的结果,请引用八进制数字(例如,'644''1777'),以便 Ansible 接收一个字符串并且可以自行将字符串转换为数字。添加前导零(例如,0755)有时有效,但在循环和其他情况下可能会失败。

如果不遵循这些规则中的任何一条,则向 Ansible 提供一个数字将最终得到一个十进制数字,这将产生意外的结果。

从 Ansible 1.8 开始,可以将模式指定为符号模式(例如,u+rwxu=rw,g=r,o=r)。

如果未指定 mode 且目标文件系统对象不存在,则在为新创建的文件系统对象设置模式时,将使用系统上的默认 umask

如果未指定 mode 且目标文件系统对象存在,则将使用现有文件系统对象的模式。

指定 mode 是确保使用正确权限创建文件系统对象的最佳方法。有关更多详细信息,请参阅 CVE-2020-1736。

owner

字符串

应该拥有文件系统对象的用户的名称,如同传递给 chown 的那样。

如果未指定,则使用当前用户,除非您是 root 用户,在这种情况下,它可以保留以前的所有权。

指定数字用户名将被假定为用户 ID 而不是用户名。避免使用数字用户名以避免这种混淆。

selevel

字符串

SELinux 文件系统对象上下文的级别部分。

这是 MLS/MCS 属性,有时称为 range

当设置为 _default 时,如果策略可用,它将使用策略的 level 部分。

serole

字符串

SELinux 文件系统对象上下文的角色部分。

当设置为 _default 时,如果策略可用,它将使用策略的 role 部分。

setype

字符串

SELinux 文件系统对象上下文的类型部分。

当设置为 _default 时,如果策略可用,它将使用策略的 type 部分。

seuser

字符串

SELinux 文件系统对象上下文的用户部分。

默认情况下,它使用 system 策略(如果适用)。

当设置为 _default 时,如果策略可用,它将使用策略的 user 部分。

src_content

字符串

包含要转换的 OpenSSL 私钥的文件的内容。

必须指定 src_pathsrc_content 中的一个。

src_passphrase

字符串

加载私钥的密码。

src_path

路径

包含要转换的 OpenSSL 私钥的文件的名称。

必须指定 src_pathsrc_content 中的一个。

unsafe_writes

布尔值

影响何时使用原子操作以防止数据损坏或从目标文件系统对象读取不一致的数据。

默认情况下,此模块使用原子操作来防止数据损坏或从目标文件系统对象读取不一致的数据,但有时系统配置或损坏的方式会阻止这种情况。一个示例是 docker 挂载的文件系统对象,它们无法从容器内部进行原子更新,只能以不安全的方式写入。

当原子操作失败时,此选项允许 Ansible 回退到不安全的文件系统对象更新方法(但是,它不会强制 Ansible 执行不安全的写入)。

重要提示!不安全的写入会受到竞争条件的影响,并可能导致数据损坏。

选项

  • false ← (默认)

  • true

属性

属性

支持

描述

check_mode

支持: 完全

可以在 check_mode 中运行并返回已更改状态的预测,而无需修改目标。

diff_mode

支持:

当处于 diff 模式时,将返回有关已更改内容(或可能需要在 check_mode 中更改的内容)的详细信息。

safe_file_operations

支持: 完全

使用 Ansible 的严格文件操作功能来确保正确的权限并避免数据损坏。

另请参阅

另请参阅

community.crypto.openssl_privatekey

生成 OpenSSL 私钥。

community.crypto.openssl_privatekey_pipe

生成 OpenSSL 私钥,无需磁盘访问。

community.crypto.openssl_publickey

从 OpenSSL 私钥生成其公钥。

示例

- name: Convert private key to PKCS8 format with passphrase
  community.crypto.openssl_privatekey_convert:
    src_path: /etc/ssl/private/ansible.com.pem
    dest_path: /etc/ssl/private/ansible.com.key
    dest_passphrase: '{{ private_key_passphrase }}'
    format: pkcs8

返回值

常见的返回值记录在此处,以下是此模块独有的字段

描述

backup_file

字符串

创建的备份文件的名称。

返回: 已更改,并且如果 backuptrue

示例: "/path/to/privatekey.pem.2019-03-09@11:22~"

作者

  • Felix Fontein (@felixfontein)