community.crypto.x509_certificate_convert 模块 – 转换 X.509 证书

注意

此模块是 community.crypto 集合 (版本 2.22.3) 的一部分。

如果您使用的是 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用: ansible-galaxy collection install community.crypto

要在剧本中使用它,请指定: community.crypto.x509_certificate_convert

community.crypto 2.19.0 中的新增功能

概要

  • 此模块允许在不同的格式之间转换 X.509 证书。

参数

参数

注释

attributes

别名:attr

字符串

生成的 filesystem 对象应具有的属性。

要获取支持的标志,请查看目标系统上 chattr 的手册页。

此字符串应按 lsattr 显示的顺序包含属性。

假设 = 运算符为默认值,否则需要在字符串中包含 +- 运算符。

backup

布尔值

创建一个包含时间戳的备份文件,以便您可以意外地用新证书覆盖原始 X.509 证书后将其恢复。

选项

  • false ← (默认)

  • true

dest_path

路径 / 必需

将生成的 TLS/SSL X.509 证书写入的文件名。

format

字符串 / 必需

确定应以哪种格式写入目标 X.509 证书。

请注意,并非所有密钥都可以在任何格式下导出,并且并非所有格式都支持加密。

选项

  • "pem"

  • "der"

group

字符串

应该拥有文件系统对象的组的名称,就像提供给 chown 一样。

如果未指定,则除非您是 root 用户,否则它将使用当前用户的当前组,在这种情况下,它可以保留以前的拥有者。

mode

任意

生成的 filesystem 对象应具有的权限。

对于习惯使用 /usr/bin/chmod 的用户,请记住模式实际上是八进制数。您必须向 Ansible 提供足够的信息才能正确解析它们。为了获得一致的结果,请引用八进制数(例如,'644''1777'),以便 Ansible 接收一个字符串并可以自行将字符串转换为数字。添加前导零(例如,0755)有时有效,但在循环和其他一些情况下可能会失败。

如果不遵循这些规则中的任何一个,则向 Ansible 提供数字将最终得到一个十进制数,这将产生意想不到的结果。

从 Ansible 1.8 开始,模式可以指定为符号模式(例如,u+rwxu=rw,g=r,o=r)。

如果未指定 mode 并且目标文件系统对象不存在,则在为新创建的文件系统对象设置模式时,将使用系统上的默认 umask

如果未指定 mode 并且目标文件系统对象存在,则将使用现有文件系统对象的模式。

指定 mode 是确保以正确的权限创建文件系统对象的最佳方法。有关更多详细信息,请参阅 CVE-2020-1736。

owner

字符串

应该拥有文件系统对象的用户的名称,就像提供给 chown 一样。

如果未指定,则除非您是 root 用户,否则它将使用当前用户,在这种情况下,它可以保留以前的拥有者。

指定数字用户名将被假定为用户 ID 而不是用户名。避免使用数字用户名以避免此混淆。

selevel

字符串

SELinux 文件系统对象上下文中的级别部分。

这是 MLS/MCS 属性,有时称为 range

如果设置为 _default,则如果可用,它将使用策略的 level 部分。

serole

字符串

SELinux 文件系统对象上下文中的角色部分。

设置为_default时,如果可用,它将使用策略的role部分。

setype

字符串

SELinux 文件系统对象上下文中的类型部分。

设置为_default时,如果可用,它将使用策略的type部分。

seuser

字符串

SELinux 文件系统对象上下文中的用户部分。

默认情况下,它使用system策略(如果适用)。

设置为_default时,如果可用,它将使用策略的user部分。

src_content

字符串

包含要转换的 X.509 证书的文件的内容。

这必须是文本。如果您不确定输入文件是否是 PEM 文件,则必须对值进行 Base64 编码并设置src_content_base64=true。您可以为此使用ansible.builtin.b64encode 过滤器插件。

必须指定src_pathsrc_content中的一个。

src_content_base64

布尔值

当提供src_content时,如果设置为true,则模块假定src_content的值为 Base64 编码。

选项

  • false ← (默认)

  • true

src_path

path

包含要转换的 X.509 证书的文件名。

必须指定src_pathsrc_content中的一个。

strict

布尔值

如果输入是 PEM 文件,请确保它包含单个 PEM 对象,标题和页脚匹配,并且类型为CERTIFICATEX509 CERTIFICATE

选项

  • false ← (默认)

  • true

unsafe_writes

布尔值

影响何时使用原子操作来防止目标文件系统对象的数据损坏或不一致读取。

默认情况下,此模块使用原子操作来防止目标文件系统对象的数据损坏或不一致读取,但有时系统配置方式不正确或已损坏,从而阻止此操作。一个示例是 docker 挂载的文件系统对象,无法从容器内以原子方式更新,只能以不安全的方式写入。

此选项允许 Ansible 在原子操作失败时回退到不安全的文件系统对象更新方法(但是,它不会强制 Ansible 执行不安全写入)。

重要!不安全写入容易出现竞争条件,并可能导致数据损坏。

选项

  • false ← (默认)

  • true

属性

属性

支持

描述

check_mode

支持:完全支持

可以在check_mode下运行,并在不修改目标的情况下返回更改状态预测。

diff_mode

支持:不支持

在差异模式下,将返回有关已更改内容(或可能需要在check_mode中更改的内容)的详细信息。

safe_file_operations

支持:完全支持

使用 Ansible 的严格文件操作函数来确保正确的权限并避免数据损坏。

另请参见

另请参见

ansible.builtin.b64encode 过滤器插件

将字符串编码为 Base64。

community.crypto.x509_certificate

生成和/或检查 OpenSSL 证书。

community.crypto.x509_certificate_pipe

生成和/或检查 OpenSSL 证书。

community.crypto.x509_certificate_info

提供 OpenSSL X.509 证书的信息。

示例

- name: Convert PEM X.509 certificate to DER format
  community.crypto.x509_certificate_convert:
    src_path: /etc/ssl/cert/ansible.com.pem
    dest_path: /etc/ssl/cert/ansible.com.der
    format: der

返回值

常见的返回值已在此处记录,以下是此模块特有的字段

描述

backup_file

字符串

创建的备份文件名。

返回:changed 和如果backuptrue

示例:"/path/to/cert.pem.2019-03-09@11:22~"

作者

  • Felix Fontein (@felixfontein)