community.crypto.openssl_publickey 模块 – 从私钥生成 OpenSSL 公钥。
注意
此模块是 community.crypto 集合 (版本 2.22.3) 的一部分。
如果您使用的是 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用: ansible-galaxy collection install community.crypto。您需要其他要求才能使用此模块,请参阅 要求 获取详细信息。
要在 playbook 中使用它,请指定: community.crypto.openssl_publickey。
概要
此模块允许您从私钥(重新)生成公钥。
公钥以 PEM 或 OpenSSH 格式生成。私钥必须是 OpenSSL PEM 密钥。不支持 OpenSSH 私钥,请使用 community.crypto.openssh_keypair 模块来管理这些密钥。
该模块使用 cryptography Python 库。
要求
执行此模块的主机需要以下要求。
cryptography >= 1.2.3(较旧的版本也可能有效)
如果
format为OpenSSH,则需要 cryptography >= 1.4
参数
参数 |
注释 |
|---|---|
生成的 filesystem 对象应具有的属性。 要获取支持的标志,请查看目标系统上 此字符串应按 默认情况下假定使用 |
|
创建一个包含时间戳的备份文件,以便您可以意外地用不同的公钥覆盖它后找回原始公钥。 选项
|
|
即使密钥已存在,是否也应重新生成密钥。 选项
|
|
公钥的格式。 选项
|
|
应拥有 filesystem 对象的组的名称,如同提供给 如果未指定,则除非您是 root 用户,否则它将使用当前用户的当前组,在这种情况下,它可以保留之前的拥有者。 |
|
生成的 filesystem 对象应具有的权限。 对于习惯使用 如果不遵循上述任何规则,则向 Ansible 提供数字将导致十进制数字,这将产生意外的结果。 从 Ansible 1.8 开始,模式可以指定为符号模式(例如, 如果未指定 如果未指定 指定 |
|
应拥有 filesystem 对象的用户名称,如同提供给 如果未指定,则除非您是 root 用户,否则它将使用当前用户,在这种情况下,它可以保留之前的拥有者。 指定数字用户名将被假定为用户 ID 而不是用户名。避免使用数字用户名以避免这种混淆。 |
|
将生成的 TLS/SSL 公钥写入的文件名。 |
|
从中生成公钥的 TLS/SSL 私钥的内容。 必须指定 |
|
私钥的密码短语。 |
|
用于生成公钥的 TLS/SSL 私钥路径。 必须指定 |
|
确定要使用的加密后端。 默认选择为 如果设置为 选项
|
|
SELinux 文件系统对象上下文中的级别部分。 这是 MLS/MCS 属性,有时称为 设置为 |
|
SELinux 文件系统对象上下文中的角色部分。 设置为 |
|
SELinux 文件系统对象上下文中的类型部分。 设置为 |
|
SELinux 文件系统对象上下文中的用户部分。 默认情况下,它使用 设置为 |
|
公钥是否应该存在,如果状态与声明的状态不同,则采取行动。 选项
|
|
影响何时使用原子操作来防止目标文件系统对象的数据损坏或不一致读取。 默认情况下,此模块使用原子操作来防止目标文件系统对象的数据损坏或不一致读取,但有时系统配置方式或损坏方式会阻止此操作。一个例子是 docker 挂载的文件系统对象,无法从容器内部以原子方式更新,只能以不安全的方式写入。 此选项允许 Ansible 在原子操作失败时回退到不安全的文件系统对象更新方法(但是,它不会强制 Ansible 执行不安全写入)。 重要!不安全写入容易出现竞争条件,并可能导致数据损坏。 选项
|
属性
属性 |
支持 |
描述 |
|---|---|---|
支持:完全支持 |
可以在 |
|
支持:完全支持 |
在差异模式下,将返回有关更改内容(或可能需要在 |
|
支持:完全支持 |
使用 Ansible 的严格文件操作功能来确保正确的权限并避免数据损坏。 |
另请参阅
另请参阅
- community.crypto.x509_certificate
生成和/或检查 OpenSSL 证书。
- community.crypto.x509_certificate_pipe
生成和/或检查 OpenSSL 证书。
- community.crypto.openssl_csr
生成 OpenSSL 证书签名请求 (CSR)。
- community.crypto.openssl_csr_pipe
生成 OpenSSL 证书签名请求 (CSR)。
- community.crypto.openssl_dhparam
生成 OpenSSL Diffie-Hellman 参数。
- community.crypto.openssl_pkcs12
生成 OpenSSL PKCS#12 归档文件。
- community.crypto.openssl_privatekey
生成 OpenSSL 私钥。
- community.crypto.openssl_privatekey_pipe
无需磁盘访问即可生成 OpenSSL 私钥。
示例
- name: Generate an OpenSSL public key in PEM format
community.crypto.openssl_publickey:
path: /etc/ssl/public/ansible.com.pem
privatekey_path: /etc/ssl/private/ansible.com.pem
- name: Generate an OpenSSL public key in PEM format from an inline key
community.crypto.openssl_publickey:
path: /etc/ssl/public/ansible.com.pem
privatekey_content: "{{ private_key_content }}"
- name: Generate an OpenSSL public key in OpenSSH v2 format
community.crypto.openssl_publickey:
path: /etc/ssl/public/ansible.com.pem
privatekey_path: /etc/ssl/private/ansible.com.pem
format: OpenSSH
- name: Generate an OpenSSL public key with a passphrase protected private key
community.crypto.openssl_publickey:
path: /etc/ssl/public/ansible.com.pem
privatekey_path: /etc/ssl/private/ansible.com.pem
privatekey_passphrase: ansible
- name: Force regenerate an OpenSSL public key if it already exists
community.crypto.openssl_publickey:
path: /etc/ssl/public/ansible.com.pem
privatekey_path: /etc/ssl/private/ansible.com.pem
force: true
- name: Remove an OpenSSL public key
community.crypto.openssl_publickey:
path: /etc/ssl/public/ansible.com.pem
state: absent
返回值
常见的返回值已在 此处 记录,以下是此模块特有的字段
键 |
描述 |
|---|---|
生成的 TLS/SSL 公钥文件的路径。 返回:changed 或 success 示例: |
|
公钥的指纹。将为每个可用的 hashlib.algorithms 生成指纹。 返回:changed 或 success 示例: |
|
公钥的格式 (PEM、OpenSSH 等)。 返回:changed 或 success 示例: |
|
生成公钥的 TLS/SSL 私钥的路径。 如果私钥已在 返回:changed 或 success 示例: |
|
(当前或生成的)公钥的内容。 返回:如果 |