community.crypto.openssl_privatekey 模块 – 生成 OpenSSL 私钥

注意

此模块是 community.crypto 集合（版本 2.22.3）的一部分。

如果您正在使用 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install community.crypto。您需要进一步的要求才能使用此模块，请参阅要求以了解详细信息。

要在 playbook 中使用它，请指定：community.crypto.openssl_privatekey。

概要 

密钥以 PEM 格式生成。
可以生成 RSA、DSA、ECC 或 EdDSA 私钥。
请注意，如果私钥与模块的选项不匹配，则该模块会重新生成私钥。特别是，如果您提供另一个密码（或不指定密码），更改密钥大小等，则将重新生成私钥。如果您担心这会覆盖您的私钥，请考虑使用 backup 选项。
如果未显式设置 mode，则私钥文件的默认模式将为 0600。
此模块允许（重新）生成 OpenSSL 私钥。

要求 

在执行此模块的主机上需要以下要求。

cryptography >= 1.2.3（旧版本也可能有效）

参数 

参数	注释
attributes 别名：attr 字符串	生成的文件系统对象应具有的属性。要获取支持的标志，请查看目标系统上的 `chattr` 的手册页。此字符串应包含与 `lsattr` 显示的顺序相同的属性。 `=` 运算符假定为默认值，否则 `+` 或 `-` 运算符需要包含在字符串中。
backup 布尔值	创建一个包含时间戳的备份文件，以便您在不小心用新私钥覆盖它时可以恢复原始私钥。选择 `false` ← (默认) `true`
cipher 字符串	用于加密私钥的密码。仅当提供 `passphrase` 时才使用此项。必须是 `auto`。默认值： `"auto"`
curve 字符串	请注意，并非所有版本的 `cryptography` 都支持所有曲线。为了实现最大的互操作性，应使用 `secp384r1` 或 `secp256r1`。我们使用 TLS 的 IANA 注册表中定义的曲线名称。请注意，除了 `secp224r1`、`secp256k1`、`secp256r1`、`secp384r1` 和 `secp521r1` 之外的所有曲线都不建议用于新的私钥。选择 `"secp224r1"` `"secp256k1"` `"secp256r1"` `"secp384r1"` `"secp521r1"` `"secp192r1"` `"brainpoolP256r1"` `"brainpoolP384r1"` `"brainpoolP512r1"` `"sect163k1"` `"sect163r2"` `"sect233k1"` `"sect233r1"` `"sect283k1"` `"sect283r1"` `"sect409k1"` `"sect409r1"` `"sect571k1"` `"sect571r1"`
强制布尔值	即使密钥已存在，是否应该重新生成密钥。选择 `false` ← (默认) `true`
格式字符串在 community.crypto 1.0.0 中添加	确定私钥的写入格式。默认情况下，对于所有支持 PKCS1 格式的密钥，都使用 PKCS1（传统的 OpenSSL 格式）。请注意，并非所有密钥都可以以任何格式导出。值 `auto` 会根据密钥格式选择格式。值 `auto_ignore` 执行相同的操作，但对于现有的私钥文件，当其格式不是自动选择的生成格式时，它不会强制重新生成。请注意，如果现有私钥的格式不匹配，默认情况下会重新生成密钥。要更改此行为，请使用 `format_mismatch` 选项。选择 `"pkcs1"` `"pkcs8"` `"raw"` `"auto"` `"auto_ignore"` ← (默认)
format_mismatch 字符串在 community.crypto 1.0.0 中添加	确定当私钥的格式与预期格式不匹配，但所有其他参数都符合预期时模块的行为。如果设置为 `regenerate`（默认），则生成新的私钥。如果设置为 `convert`，则密钥将转换为新格式。仅受 `cryptography` 后端支持。选择 `"regenerate"` ← (默认) `"convert"`
组字符串	应该拥有文件系统对象的组的名称，就像传递给 `chown` 一样。如果未指定，则使用当前用户的当前组，除非您是 root 用户，在这种情况下，它可以保留先前的所有权。
模式任何	生成的文件系统对象应该具有的权限。对于那些习惯于使用 `/usr/bin/chmod` 的人来说，请记住模式实际上是八进制数字。您必须向 Ansible 提供足够的信息才能正确解析它们。为了获得一致的结果，请引用八进制数字（例如，`'644'` 或 `'1777'`），以便 Ansible 接收一个字符串并可以将其从字符串转换为数字。添加前导零（例如，`0755`）有时有效，但在循环和其他一些情况下可能会失败。如果向 Ansible 提供数字而没有遵循这些规则中的任何一条，最终将得到一个十进制数字，这将产生意想不到的结果。从 Ansible 1.8 开始，模式可以指定为符号模式（例如，`u+rwx` 或 `u=rw,g=r,o=r`）。如果未指定 `mode`，并且目标文件系统对象不存在，则在设置新创建的文件系统对象的模式时，将使用系统上的默认 `umask`。如果未指定 `mode`，并且目标文件系统对象存在，则将使用现有文件系统对象的模式。指定 `mode` 是确保使用正确权限创建文件系统对象的最佳方式。有关更多详细信息，请参阅 CVE-2020-1736。
所有者字符串	应该拥有文件系统对象的用户名称，就像传递给 `chown` 一样。如果未指定，则使用当前用户，除非您是 root 用户，在这种情况下，它可以保留先前的所有权。将数字用户名指定为用户 ID 而不是用户名。避免使用数字用户名以避免这种混淆。
密码字符串	私钥的密码。
路径路径 / 必需	将写入生成的 TLS/SSL 私钥的文件名。如果未明确设置 `mode`，则其模式为 `0600`。
重新生成字符串在 community.crypto 1.0.0 中添加	允许配置在哪些情况下允许模块重新生成私钥。如果目标文件不存在，则模块将始终生成新密钥。默认情况下，当密钥与模块的选项不匹配时，将重新生成密钥，除非密钥无法读取或密码不匹配。请注意，对于 Ansible 2.10，此行为已更改。对于 Ansible 2.9，行为与指定 `full_idempotence` 时相同。如果设置为 `never`，则当密钥无法读取或密码不匹配时，模块将失败，并且永远不会重新生成现有密钥。如果设置为 `fail`，则当密钥与模块的选项不对应时，模块将失败。如果设置为 `partial_idempotence`，则当密钥不符合模块的选项时，将重新生成密钥。如果密钥无法读取（文件损坏）、密钥受未知密码保护，或者当密钥不受密码保护但指定了密码时，则不会重新生成密钥。如果设置为 `full_idempotence`，则当密钥不符合模块的选项时，将重新生成密钥。如果密钥无法读取（文件损坏）、密钥受未知密码保护，或者当密钥不受密码保护但指定了密码时，也是如此。使用此选项时，请确保您有备份！如果设置为 `always`，则模块将始终重新生成密钥。这等效于将 `force` 设置为 `true`。请注意，如果将 `format_mismatch` 设置为 `convert`，并且除格式之外所有内容都匹配，则将始终转换密钥，除非将 `regenerate` 设置为 `always`。选择 `"never"` `"fail"` `"partial_idempotence"` `"full_idempotence"` ← (默认) `"always"`
return_content 布尔值在 community.crypto 1.0.0 中添加	如果设置为 `true`，将返回（当前或生成的）私钥的内容作为 `privatekey`。请注意，特别是如果私钥未加密，则必须确保正确处理返回的值，而不是意外写入日志等！请谨慎使用！使用 Ansible 的 `no_log` 任务选项以避免显示输出。另请参阅 https://docs.ansible.org.cn/ansible/latest/reference_appendices/faq.html#how-do-i-keep-secret-data-in-my-playbook。选择 `false` ← (默认) `true`
select_crypto_backend 字符串	确定要使用的加密后端。默认选项是 `auto`，它会尝试在可用时使用 `cryptography`。如果设置为 `cryptography`，将尝试使用 cryptography 库。选择 `"auto"` ← (默认) `"cryptography"`
selevel 字符串	SELinux 文件系统对象上下文的级别部分。这是 MLS/MCS 属性，有时称为 `range`。如果设置为 `_default`，它将使用策略的 `level` 部分（如果可用）。
serole 字符串	SELinux 文件系统对象上下文的角色部分。当设置为 `_default` 时，如果策略中存在 `role` 部分，则会使用该部分。
setype 字符串	SELinux 文件系统对象上下文的类型部分。当设置为 `_default` 时，如果策略中存在 `type` 部分，则会使用该部分。
seuser 字符串	SELinux 文件系统对象上下文的用户部分。默认情况下，它会使用 `system` 策略（如果适用）。当设置为 `_default` 时，如果策略中存在 `user` 部分，则会使用该部分。
size 整数	要生成的 TLS/SSL 密钥的大小（以位为单位）。默认值: `4096`
state 字符串	私钥是否应该存在，如果状态与声明的不同，则会采取操作。选择 `"absent" （不存在）` `"present"` ← (默认)（存在）
type 字符串	用于生成 TLS/SSL 私钥的算法。请注意，`ECC`、`X25519`、`X448`、`Ed25519` 和 `Ed448` 需要 `cryptography` 后端。`X25519` 需要 cryptography 2.5 或更高版本，而 `X448`、`Ed25519` 和 `Ed448` 需要 cryptography 2.6 或更高版本。对于 `ECC`，所需的最低 cryptography 版本取决于 `curve` 选项。选择 `"DSA"` `"ECC"` `"Ed25519"` `"Ed448"` `"RSA"` ← (默认) `"X25519"` `"X448"`
unsafe_writes 布尔值	影响何时使用原子操作，以防止数据损坏或从目标文件系统对象读取不一致的数据。默认情况下，此模块使用原子操作来防止数据损坏或从目标文件系统对象读取不一致的数据，但有时系统配置或损坏的方式会阻止这样做。一个例子是 docker 挂载的文件系统对象，它无法从容器内部原子更新，只能以不安全的方式写入。当原子操作失败时，此选项允许 Ansible 回退到不安全的文件系统对象更新方法（但是，它不会强制 Ansible 执行不安全的写入）。重要提示！不安全的写入会受到竞争条件的影响，并可能导致数据损坏。选择 `false` ← (默认) `true`

属性 

属性	支持	描述
check_mode	支持: 完全	可以在 `check_mode` 中运行并返回已更改状态的预测，而无需修改目标。
diff_mode	支持: 完全	当处于 diff 模式时，将返回有关已更改的内容（或在 `check_mode` 中可能需要更改的内容）的详细信息。
safe_file_operations	支持: 完全	使用 Ansible 严格的文件操作功能来确保正确的权限并避免数据损坏。

参见 

参见

community.crypto.openssl_privatekey_pipe: 无需磁盘访问即可生成 OpenSSL 私钥。
community.crypto.openssl_privatekey_info: 提供有关 OpenSSL 私钥的信息。
community.crypto.x509_certificate: 生成和/或检查 OpenSSL 证书。
community.crypto.x509_certificate_pipe: 生成和/或检查 OpenSSL 证书。
community.crypto.openssl_csr: 生成 OpenSSL 证书签名请求 (CSR)。
community.crypto.openssl_csr_pipe: 生成 OpenSSL 证书签名请求 (CSR)。
community.crypto.openssl_dhparam: 生成 OpenSSL Diffie-Hellman 参数。
community.crypto.openssl_pkcs12: 生成 OpenSSL PKCS#12 存档。
community.crypto.openssl_publickey: 从私钥生成 OpenSSL 公钥。

示例 

- name: Generate an OpenSSL private key with the default values (4096 bits, RSA)
  community.crypto.openssl_privatekey:
    path: /etc/ssl/private/ansible.com.pem

- name: Generate an OpenSSL private key with the default values (4096 bits, RSA) and a passphrase
  community.crypto.openssl_privatekey:
    path: /etc/ssl/private/ansible.com.pem
    passphrase: ansible
    cipher: auto

- name: Generate an OpenSSL private key with a different size (2048 bits)
  community.crypto.openssl_privatekey:
    path: /etc/ssl/private/ansible.com.pem
    size: 2048

- name: Force regenerate an OpenSSL private key if it already exists
  community.crypto.openssl_privatekey:
    path: /etc/ssl/private/ansible.com.pem
    force: true

- name: Generate an OpenSSL private key with a different algorithm (DSA)
  community.crypto.openssl_privatekey:
    path: /etc/ssl/private/ansible.com.pem
    type: DSA

- name: Generate an OpenSSL private key with elliptic curve cryptography (ECC)
  community.crypto.openssl_privatekey:
    path: /etc/ssl/private/ansible.com.pem
    type: ECC
    curve: secp256r1

返回值 

常见的返回值在此处记录此处，以下是此模块特有的字段

键	描述
backup_file 字符串	创建的备份文件的名称。返回: 已更改，并且如果 `backup` 为 `true` 示例: `"/path/to/privatekey.pem.2019-03-09@11:22~"`
curve 字符串	用于生成 TLS/SSL 私钥的椭圆曲线。返回: 已更改或成功，并且 `type` 为 `ECC` 示例: `"secp256r1"`
filename 字符串	生成的 TLS/SSL 私钥文件的路径。返回: 已更改或成功示例: `"/etc/ssl/private/ansible.com.pem"`
fingerprint 字典	公钥的指纹。将为每个可用的 `hashlib.algorithms` 生成指纹。返回: 已更改或成功示例: {"md5": "84:75:71:72:8d:04:b5:6c:4d:37:6d:66:83:f5:4c:29", "sha1": "51:cc:7c:68:5d:eb:41:43:88:7e:1a:ae:c7:f8:24:72:ee:71:f6:10", "sha224": "b1:19:a6:6c:14:ac:33:1d:ed:18:50:d3:06:5c:b2:32:91:f1:f1:52:8c:cb:d5:75:e9:f5:9b:46", "sha256": "41:ab:c7:cb:d5:5f:30:60:46:99:ac:d4:00:70:cf:a1:76:4f:24:5d:10:24:57:5d:51:6e:09:97:df:2f:de:c7", "sha384": "85:39:50:4e:de:d9:19:33:40:70:ae:10:ab:59:24:19:51:c3:a2:e4:0b:1c:b1:6e:dd:b3:0c:d9:9e:6a:46:af:da:18:f8:ef:ae:2e:c0:9a:75:2c:9b:b3:0f:3a:5f:3d", "sha512": "fd:ed:5e:39:48:5f:9f:fe:7f:25:06:3f:79:08:cd:ee:a5:e7:b3:3d:13:82:87:1f:84:e1:f5:c7:28:77:53:94:86:56:38:69:f0:d9:35:22:01:1e:a6:60:...:0f:9b"}
privatekey 字符串在 community.crypto 1.0.0 中添加	（当前或生成的）私钥的内容。如果密钥为原始格式，则将进行 Base64 编码。返回: 如果 `state` 为 `present` 并且 `return_content` 为 `true`
size 整数	TLS/SSL 私钥的大小（以位为单位）。返回: 已更改或成功示例: `4096`
type 字符串	用于生成 TLS/SSL 私钥的算法。返回: 已更改或成功示例: `"RSA"`

作者

Yanis Guenane (@Spredzy)
Felix Fontein (@felixfontein)

参数	注释
attributes 别名：attr 字符串	生成的文件系统对象应具有的属性。要获取支持的标志，请查看目标系统上的 `chattr` 的手册页。此字符串应包含与 `lsattr` 显示的顺序相同的属性。 `=` 运算符假定为默认值，否则 `+` 或 `-` 运算符需要包含在字符串中。
backup 布尔值	创建一个包含时间戳的备份文件，以便您在不小心用新私钥覆盖它时可以恢复原始私钥。选择 `false` ← (默认) `true`
cipher 字符串	用于加密私钥的密码。仅当提供 `passphrase` 时才使用此项。必须是 `auto`。默认值： `"auto"`
curve 字符串	请注意，并非所有版本的 `cryptography` 都支持所有曲线。为了实现最大的互操作性，应使用 `secp384r1` 或 `secp256r1`。我们使用 TLS 的 IANA 注册表中定义的曲线名称。请注意，除了 `secp224r1`、`secp256k1`、`secp256r1`、`secp384r1` 和 `secp521r1` 之外的所有曲线都不建议用于新的私钥。选择 `"secp224r1"` `"secp256k1"` `"secp256r1"` `"secp384r1"` `"secp521r1"` `"secp192r1"` `"brainpoolP256r1"` `"brainpoolP384r1"` `"brainpoolP512r1"` `"sect163k1"` `"sect163r2"` `"sect233k1"` `"sect233r1"` `"sect283k1"` `"sect283r1"` `"sect409k1"` `"sect409r1"` `"sect571k1"` `"sect571r1"`
强制布尔值	即使密钥已存在，是否应该重新生成密钥。选择 `false` ← (默认) `true`
格式字符串在 community.crypto 1.0.0 中添加	确定私钥的写入格式。默认情况下，对于所有支持 PKCS1 格式的密钥，都使用 PKCS1（传统的 OpenSSL 格式）。请注意，并非所有密钥都可以以任何格式导出。值 `auto` 会根据密钥格式选择格式。值 `auto_ignore` 执行相同的操作，但对于现有的私钥文件，当其格式不是自动选择的生成格式时，它不会强制重新生成。请注意，如果现有私钥的格式不匹配，默认情况下会重新生成密钥。要更改此行为，请使用 `format_mismatch` 选项。选择 `"pkcs1"` `"pkcs8"` `"raw"` `"auto"` `"auto_ignore"` ← (默认)
format_mismatch 字符串在 community.crypto 1.0.0 中添加	确定当私钥的格式与预期格式不匹配，但所有其他参数都符合预期时模块的行为。如果设置为 `regenerate`（默认），则生成新的私钥。如果设置为 `convert`，则密钥将转换为新格式。仅受 `cryptography` 后端支持。选择 `"regenerate"` ← (默认) `"convert"`
组字符串	应该拥有文件系统对象的组的名称，就像传递给 `chown` 一样。如果未指定，则使用当前用户的当前组，除非您是 root 用户，在这种情况下，它可以保留先前的所有权。
模式任何	生成的文件系统对象应该具有的权限。对于那些习惯于使用 `/usr/bin/chmod` 的人来说，请记住模式实际上是八进制数字。您必须向 Ansible 提供足够的信息才能正确解析它们。为了获得一致的结果，请引用八进制数字（例如，`'644'` 或 `'1777'`），以便 Ansible 接收一个字符串并可以将其从字符串转换为数字。添加前导零（例如，`0755`）有时有效，但在循环和其他一些情况下可能会失败。如果向 Ansible 提供数字而没有遵循这些规则中的任何一条，最终将得到一个十进制数字，这将产生意想不到的结果。从 Ansible 1.8 开始，模式可以指定为符号模式（例如，`u+rwx` 或 `u=rw,g=r,o=r`）。如果未指定 `mode`，并且目标文件系统对象不存在，则在设置新创建的文件系统对象的模式时，将使用系统上的默认 `umask`。如果未指定 `mode`，并且目标文件系统对象存在，则将使用现有文件系统对象的模式。指定 `mode` 是确保使用正确权限创建文件系统对象的最佳方式。有关更多详细信息，请参阅 CVE-2020-1736。
所有者字符串	应该拥有文件系统对象的用户名称，就像传递给 `chown` 一样。如果未指定，则使用当前用户，除非您是 root 用户，在这种情况下，它可以保留先前的所有权。将数字用户名指定为用户 ID 而不是用户名。避免使用数字用户名以避免这种混淆。
密码字符串	私钥的密码。
路径路径 / 必需	将写入生成的 TLS/SSL 私钥的文件名。如果未明确设置 `mode`，则其模式为 `0600`。
重新生成字符串在 community.crypto 1.0.0 中添加	允许配置在哪些情况下允许模块重新生成私钥。如果目标文件不存在，则模块将始终生成新密钥。默认情况下，当密钥与模块的选项不匹配时，将重新生成密钥，除非密钥无法读取或密码不匹配。请注意，对于 Ansible 2.10，此行为已更改。对于 Ansible 2.9，行为与指定 `full_idempotence` 时相同。如果设置为 `never`，则当密钥无法读取或密码不匹配时，模块将失败，并且永远不会重新生成现有密钥。如果设置为 `fail`，则当密钥与模块的选项不对应时，模块将失败。如果设置为 `partial_idempotence`，则当密钥不符合模块的选项时，将重新生成密钥。如果密钥无法读取（文件损坏）、密钥受未知密码保护，或者当密钥不受密码保护但指定了密码时，则不会重新生成密钥。如果设置为 `full_idempotence`，则当密钥不符合模块的选项时，将重新生成密钥。如果密钥无法读取（文件损坏）、密钥受未知密码保护，或者当密钥不受密码保护但指定了密码时，也是如此。使用此选项时，请确保您有备份！如果设置为 `always`，则模块将始终重新生成密钥。这等效于将 `force` 设置为 `true`。请注意，如果将 `format_mismatch` 设置为 `convert`，并且除格式之外所有内容都匹配，则将始终转换密钥，除非将 `regenerate` 设置为 `always`。选择 `"never"` `"fail"` `"partial_idempotence"` `"full_idempotence"` ← (默认) `"always"`
return_content 布尔值在 community.crypto 1.0.0 中添加	如果设置为 `true`，将返回（当前或生成的）私钥的内容作为 `privatekey`。请注意，特别是如果私钥未加密，则必须确保正确处理返回的值，而不是意外写入日志等！请谨慎使用！使用 Ansible 的 `no_log` 任务选项以避免显示输出。另请参阅 https://docs.ansible.org.cn/ansible/latest/reference_appendices/faq.html#how-do-i-keep-secret-data-in-my-playbook。选择 `false` ← (默认) `true`
select_crypto_backend 字符串	确定要使用的加密后端。默认选项是 `auto`，它会尝试在可用时使用 `cryptography`。如果设置为 `cryptography`，将尝试使用 cryptography 库。选择 `"auto"` ← (默认) `"cryptography"`
selevel 字符串	SELinux 文件系统对象上下文的级别部分。这是 MLS/MCS 属性，有时称为 `range`。如果设置为 `_default`，它将使用策略的 `level` 部分（如果可用）。
serole 字符串	SELinux 文件系统对象上下文的角色部分。当设置为 `_default` 时，如果策略中存在 `role` 部分，则会使用该部分。
setype 字符串	SELinux 文件系统对象上下文的类型部分。当设置为 `_default` 时，如果策略中存在 `type` 部分，则会使用该部分。
seuser 字符串	SELinux 文件系统对象上下文的用户部分。默认情况下，它会使用 `system` 策略（如果适用）。当设置为 `_default` 时，如果策略中存在 `user` 部分，则会使用该部分。
size 整数	要生成的 TLS/SSL 密钥的大小（以位为单位）。默认值: `4096`
state 字符串	私钥是否应该存在，如果状态与声明的不同，则会采取操作。选择 `"absent" （不存在）` `"present"` ← (默认)（存在）
type 字符串	用于生成 TLS/SSL 私钥的算法。请注意，`ECC`、`X25519`、`X448`、`Ed25519` 和 `Ed448` 需要 `cryptography` 后端。`X25519` 需要 cryptography 2.5 或更高版本，而 `X448`、`Ed25519` 和 `Ed448` 需要 cryptography 2.6 或更高版本。对于 `ECC`，所需的最低 cryptography 版本取决于 `curve` 选项。选择 `"DSA"` `"ECC"` `"Ed25519"` `"Ed448"` `"RSA"` ← (默认) `"X25519"` `"X448"`
unsafe_writes 布尔值	影响何时使用原子操作，以防止数据损坏或从目标文件系统对象读取不一致的数据。默认情况下，此模块使用原子操作来防止数据损坏或从目标文件系统对象读取不一致的数据，但有时系统配置或损坏的方式会阻止这样做。一个例子是 docker 挂载的文件系统对象，它无法从容器内部原子更新，只能以不安全的方式写入。当原子操作失败时，此选项允许 Ansible 回退到不安全的文件系统对象更新方法（但是，它不会强制 Ansible 执行不安全的写入）。重要提示！不安全的写入会受到竞争条件的影响，并可能导致数据损坏。选择 `false` ← (默认) `true`