community.crypto.x509_crl_info 模块 – 获取证书吊销列表 (CRL) 信息

注意

此模块是 community.crypto 集合 (版本 2.22.3) 的一部分。

如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install community.crypto。您需要其他需求才能使用此模块,有关详细信息,请参阅 需求

要在playbook中使用它,请指定:community.crypto.x509_crl_info

community.crypto 1.0.0 中的新增功能

摘要

  • 此模块允许检索证书吊销列表 (CRL) 的信息。

需求

以下是执行此模块的主机所需的条件。

参数

参数

注释

content

字符串

PEM格式的X.509 CRL内容,或Base64编码的X.509 CRL。

必须指定 pathcontent,但不能同时指定两者。

list_revoked_certificates

布尔值

community.crypto 1.7.0 中添加

如果设置为 false,则结果中不包含吊销证书列表。

这在检索大型CRL文件信息时很有用。枚举所有吊销证书可能需要一些时间,包括将结果序列化为JSON,将其发送到Ansible控制器,以及再次解码它。

选项

  • false

  • true ← (默认)

name_encoding

字符串

如何在返回值中编码名称(DNS名称、URI、电子邮件地址)。

ignore 将使用后端返回的编码。

idna 将所有域名标签转换为IDNA编码。将优先使用IDNA2008,如果IDNA2008编码失败,则使用IDNA2003。

unicode 将所有域名标签转换为Unicode。将优先使用IDNA2008,如果IDNA2008解码失败,则使用IDNA2003。

注意idnaunicode 需要安装 idna Python库

选项

  • "ignore" ← (默认)

  • "idna"

  • "unicode"

path

path

应创建生成的CRL文件或已位于其中的远程绝对路径。

必须指定 pathcontent,但不能同时指定两者。

属性

属性

支持

描述

check_mode

支持:完全支持

此操作不会修改状态。

可以在 check_mode 下运行,并在不修改目标的情况下返回更改状态预测。

diff_mode

支持: N/A

此操作不会修改状态。

在差异模式下,将返回有关已更改内容(或可能需要在 check_mode 中更改的内容)的详细信息。

备注

注意

  • 所有时间戳值均采用 ASN.1 TIME 格式提供,换言之,遵循 YYYYMMDDHHMMSSZ 模式。它们均为 UTC 时间。

另请参见

另请参见

community.crypto.x509_crl

生成证书吊销列表 (CRL)。

community.crypto.x509_crl_info 过滤器插件

此模块的过滤器变体。

community.crypto.to_serial 过滤器插件

将整数转换为冒号分隔的十六进制数字列表。

示例

- name: Get information on CRL
  community.crypto.x509_crl_info:
    path: /etc/ssl/my-ca.crl
  register: result

- name: Print the information
  ansible.builtin.debug:
    msg: "{{ result }}"

- name: Get information on CRL without list of revoked certificates
  community.crypto.x509_crl_info:
    path: /etc/ssl/very-large.crl
    list_revoked_certificates: false
  register: result

返回值

常见的返回值已在 此处 记录,以下是此模块特有的字段

描述

digest

字符串

用于签署 CRL 的签名算法。

返回值:成功

示例: "sha256WithRSAEncryption"

format

字符串

CRL 是否为 PEM 格式 (pem) 或 DER 格式 (der)。

返回值:成功

只能返回

  • "pem"

  • "der"

示例: "pem"

issuer

字典

CRL 的颁发者。

请注意,对于重复的值,只会返回最后一个值。

参见 name_encoding 以了解如何处理 IDN。

返回值:成功

示例: {"commonName": "ca.example.com", "organizationName": "Ansible"}

issuer_ordered

列表 / 元素=列表

CRL 的颁发者,作为有序元组列表。

返回值:成功

示例: [["organizationName", "Ansible"], [{"commonName": "ca.example.com"}]]

last_update

字符串

此 CRL 可信赖的时间点,以 ASN.1 TIME 表示。

返回值:成功

示例: "20190413202428Z"

next_update

字符串

将发出新 CRL 的时间点,客户端必须检查该时间点,以 ASN.1 TIME 表示。

返回值:成功

示例: "20190413202428Z"

revoked_certificates

列表 / 元素=字典

要吊销的证书列表。

返回值:如果 list_revoked_certificates=true,则返回成功

invalidity_date

字符串

已知/怀疑私钥泄露或证书以其他方式失效的时间点,以 ASN.1 TIME 表示。

返回值:成功

示例: "20190413202428Z"

invalidity_date_critical

布尔值

无效日期扩展是否为关键扩展。

返回值:成功

示例: false

issuer

列表 / 元素=字符串

证书的颁发者。

参见 name_encoding 以了解如何处理 IDN。

返回值:成功

示例: ["DNS:ca.example.org"]

issuer_critical

布尔值

证书颁发者扩展是否为关键扩展。

返回值:成功

示例: false

reason

字符串

吊销原因扩展的值。

返回值:成功

只能返回

  • "未指定"

  • "密钥泄露"

  • "CA 泄露"

  • "关联更改"

  • "已取代"

  • "停止运营"

  • "证书暂停"

  • "权限撤销"

  • "AA 泄露"

  • "从 CRL 中删除"

示例: "key_compromise"

reason_critical

布尔值

吊销原因扩展是否为关键扩展。

返回值:成功

示例: false

revocation_date

字符串

证书被吊销的时间点,以 ASN.1 TIME 表示。

返回值:成功

示例: "20190413202428Z"

serial_number

整数

证书的序列号。

此返回值为**整数**。如果您需要序列号为冒号分隔的十六进制字符串,例如 11:22:33,则需要使用 community.crypto.to_serial 将其转换为该格式。

返回值:成功

示例: 1234

作者

  • Felix Fontein (@felixfontein)