community.crypto.x509_crl 模块 – 生成证书吊销列表 (CRL)
注意
此模块是 community.crypto 集合 (版本 2.22.3) 的一部分。
如果您使用的是 ansible 软件包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install community.crypto。您需要其他要求才能使用此模块,有关详细信息,请参阅 要求。
要在 playbook 中使用它,请指定:community.crypto.x509_crl。
community.crypto 1.0.0 中的新增功能
概要
此模块允许您(重新)生成或更新证书吊销列表 (CRL)。
吊销列表中的证书可以通过序列号和(可选)其颁发者指定,也可以作为 PEM 格式的证书文件的路径指定。
要求
在执行此模块的主机上需要以下要求。
如果
name_encoding设置为除ignore之外的其他值,则需要安装 idna Python 库。cryptography >= 1.2
参数
参数 |
注释 |
|---|---|
生成的 filesystem 对象应具有的属性。 要获取支持的标志,请查看目标系统上 此字符串应按 假设 |
|
创建一个包含时间戳的备份文件,以便您可以意外地用新的 CRL 覆盖它后找回原始 CRL。 选项
|
|
定义如何处理现有 CRL 的条目。 如果设置为 如果设置为 默认值为 在 community.crypto 2.13.0 之前,此参数称为 选项
|
|
签名 CRL 时要使用的摘要算法。 默认值: |
|
是否强制重新生成CRL。 选项
|
|
应该拥有文件系统对象的组的名称,如同提供给 如果未指定,它将使用当前用户的当前组,除非您是root用户,在这种情况下,它可以保留之前的拥有者。 |
|
是否忽略时间戳 将此与这些值的相对时间戳结合使用以获得幂等性。 选项
|
|
CRL的发行者名称字段中将存在的键/值对。 如果需要使用相同的键指定多个值,请使用列表作为值。 如果组件的顺序很重要,请使用 如果 与 |
|
字典列表,其中每个字典必须包含一个键/值对。此键/值对将存在于CRL的发行者名称字段中。 如果要连续使用相同的键指定多个值,可以使用列表作为值。 如果 与 |
|
可以信任此CRL的时间点。 时间可以指定为相对时间或绝对时间戳。 时间将始终解释为UTC。 有效格式为 请注意,如果使用相对时间,此模块不是幂等的,除非 默认: |
|
如何在返回值中编码名称(DNS名称、URI、电子邮件地址)。
注意 选项
|
|
此 时间可以指定为相对时间或绝对时间戳。 时间将始终解释为UTC。 有效格式为 请注意,如果使用相对时间,此模块不是幂等的,除非 如果 |
|
应该拥有文件系统对象的用户的名称,如同提供给 如果未指定,它将使用当前用户,除非您是root用户,在这种情况下,它可以保留之前的拥有者。 指定数字用户名将被假定为用户ID而不是用户名。避免使用数字用户名以避免这种混淆。 |
|
应创建生成的CRL文件或已存在的远程绝对路径。 |
|
用于签署CRL的CA私钥的内容。 如果 |
|
如果私钥受密码保护,则需要此参数。 |
|
用于签署CRL的CA私钥的路径。 如果 |
|
要吊销的证书列表。 如果 |
|
PEM格式证书的内容。 将从证书中提取序列号和发行者。 与 |
|
已知或怀疑私钥泄露,或证书失效的时间点。 时间可以指定为相对时间或绝对时间戳。 时间将始终解释为UTC。 有效格式为 请注意,如果使用相对时间,此模块**不是**幂等的。当 |
|
无效日期扩展是否应为关键扩展。 选项
|
|
证书的发行者。 示例: |
|
证书发行者扩展是否应为关键扩展。 选项
|
|
PEM 格式证书的路径。 将从证书中提取序列号和发行者。 与 |
|
吊销原因扩展的值。 选项
|
|
吊销原因扩展是否应为关键扩展。 选项
|
|
证书被吊销的时间点。 时间可以指定为相对时间或绝对时间戳。 时间将始终解释为UTC。 有效格式为 请注意,如果使用相对时间,此模块不是幂等的,除非 默认: |
|
证书的序列号。 与 此选项接受整数或十六进制八位字节串,具体取决于 如果 如果 您可以使用过滤器community.crypto.parse_serial和community.crypto.to_serial来转换这两种表示形式。 |
|
SELinux 文件系统对象上下文中的级别部分。 这是 MLS/MCS 属性,有时称为 当设置为 |
|
此选项确定将为 如果设置为 如果设置为 选项
|
|
SELinux 文件系统对象上下文中的角色部分。 当设置为 |
|
SELinux 文件系统对象上下文中的类型部分。 当设置为 |
|
SELinux 文件系统对象上下文中的用户部分。 默认情况下,它使用 当设置为 |
|
CRL 文件是否应该存在,如果状态与声明的状态不同,则采取行动。 选项
|
|
影响何时使用原子操作来防止目标文件系统对象的数据损坏或不一致读取。 默认情况下,此模块使用原子操作来防止目标文件系统对象的数据损坏或不一致读取,但有时系统配置或损坏的方式会阻止这种情况。一个例子是 docker 挂载的文件系统对象,无法从容器内部以原子方式更新,只能以不安全的方式写入。 此选项允许 Ansible 在原子操作失败时回退到不安全的文件系统对象更新方法(但是,它不会强制 Ansible 执行不安全的写入)。 重要!不安全的写入容易出现竞争条件,并可能导致数据损坏。 选项
|
属性
属性 |
支持 |
描述 |
|---|---|---|
支持:完全支持 |
可以在 |
|
支持:完全支持 |
在差异模式下,将返回有关已更改内容(或可能需要在 |
|
支持:完全支持 |
使用 Ansible 的严格文件操作函数来确保正确的权限并避免数据损坏。 |
备注
注意
所有 ASN.1 TIME 值都应遵循 YYYYMMDDHHMMSSZ 模式。
指定的日期应为 UTC。分钟和秒是必须的。
另请参阅
另请参阅
- community.crypto.parse_serial 过滤器插件
将序列号(作为冒号分隔的十六进制数字列表)转换为整数。
- community.crypto.to_serial 过滤器插件
将整数转换为冒号分隔的十六进制数字列表。
示例
- name: Generate a CRL
community.crypto.x509_crl:
path: /etc/ssl/my-ca.crl
privatekey_path: /etc/ssl/private/my-ca.pem
issuer:
CN: My CA
last_update: "+0s"
next_update: "+7d"
revoked_certificates:
- serial_number: 1234
revocation_date: 20190331202428Z
issuer:
CN: My CA
- serial_number: 2345
revocation_date: 20191013152910Z
reason: affiliation_changed
invalidity_date: 20191001000000Z
- path: /etc/ssl/crt/revoked-cert.pem
revocation_date: 20191010010203Z
返回值
常用返回值已在此处记录,以下是此模块特有的字段
键 |
描述 |
|---|---|
(当前或生成的)CRL 的内容。 如果 返回值:如果 |
|
用于签署 CRL 的签名算法。 返回值:成功 示例: |
|
生成的 CRL 的路径。 返回值:已更改或成功 示例: |
|
CRL 是否为 PEM 格式( 返回值:成功 只能返回
示例: |
|
CRL 的发行者。 请注意,对于重复的值,只返回最后一个值。 有关如何处理 IDN,请参见 返回值:成功 示例: |
|
CRL 的发行者,作为有序元组列表。 返回值:成功 示例: |
|
从此 CRL 可以被信任的时间点(作为 ASN.1 TIME)。 返回值:成功 示例: |
|
新 CRL 将发出的时间点,以及客户端必须检查它的时间点,以 ASN.1 TIME 格式表示。 返回值:成功 示例: |
|
CA 私钥的路径。 返回值:已更改或成功 示例: |
|
要吊销的证书列表。 返回值:成功 |
|
已知或怀疑私钥泄露或证书以其他方式失效的时间点,以 ASN.1 TIME 格式表示。 返回值:成功 示例: |
|
无效日期扩展是否为关键扩展。 返回值:成功 示例: |
|
证书颁发者扩展是否为关键扩展。 返回值:成功 示例: |
|
吊销原因扩展的值。 返回值:成功 只能返回
示例: |
|
吊销原因扩展是否为关键扩展。 返回值:成功 示例: |
|
证书被吊销的时间点,以 ASN.1 TIME 格式表示。 返回值:成功 示例: |
|
证书的序列号。 此返回值为整数。如果您需要以冒号分隔的十六进制字符串形式表示序列号,例如 返回值:成功 示例: |