community.hashi_vault.vault_pki_generate_certificate 模块 – 使用 HashiCorp Vault PKI 生成新的凭据集(私钥和证书)
注意
此模块是 community.hashi_vault 集合(版本 6.2.0)的一部分。
如果您正在使用 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install community.hashi_vault。您需要其他要求才能使用此模块,有关详细信息,请参阅 要求。
要在 playbook 中使用它,请指定:community.hashi_vault.vault_pki_generate_certificate。
community.hashi_vault 2.3.0 中的新增功能
概要
基于 Vault PKI 角色生成新的凭据集(私钥和证书)。
要求
执行此模块的主机上需要以下要求。
参数
参数 |
注释 |
|---|---|
指定请求的主题备用名称。 这些可以是主机名或电子邮件地址;它们将被解析到各自的字段中。 如果任何请求的名称与角色策略不匹配,则整个请求将被拒绝。 默认: |
|
要使用的身份验证方法。
选择
|
|
要使用的 AWS 访问密钥。 |
|
如果指定,则设置 |
|
AWS 配置文件 |
|
与访问密钥对应的 AWS 密钥。 |
|
如果使用临时访问密钥和秘密密钥,则使用 AWS 安全令牌。 |
|
Azure AD 服务主体或托管标识的客户端 ID(也称为应用程序 ID)。应为 UUID。 如果未指定,将使用系统分配的托管标识。 |
|
Azure AD 服务主体的客户端密钥。 |
|
在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应更改默认值。 默认: |
|
服务主体的 Azure Active Directory 租户 ID(也称为目录 ID)。应为 UUID。 当使用服务主体向 Vault 进行身份验证时需要,例如,当同时指定 azure_client_id 和 azure_client_secret 时需要。 当使用托管标识向 Vault 进行身份验证时可选。 |
|
用于身份验证的证书路径。 如果未通过任何其他方式指定,则将使用 |
|
对于 |
|
对于 |
|
指定证书的请求 CN。 如果 CN 允许角色策略,则将颁发它。 |
|
指定 PKI 引擎使用的挂载点。 默认为 |
|
如果为 true,则给定的common_name将不会包含在 DNS 或电子邮件主题备用名称中(如果适用)。 如果 CN 不是主机名或电子邮件地址,而是某些人类可读的标识符,则此项很有用。 选择
|
|
指定返回数据的格式。 可以是 如果为 如果为 选择
|
|
指定请求的 IP 主题备用名称。 仅当角色允许 IP SAN 时有效(这是默认值)。 默认: |
|
用于对 Vault 进行 JWT 身份验证的 JSON Web 令牌 (JWT)。 |
|
Vault 挂载点。 如果未指定,则使用给定身份验证方法的默认挂载点。 不适用于令牌身份验证。 |
|
密钥所在的 Vault 命名空间。此选项需要 HVAC 0.7.0+ 和 Vault 0.11+。 或者,可以通过在身份验证挂载点和/或密钥路径前加上命名空间来实现(例如 如果设置了环境变量 |
|
指定自定义 OID/UTF8 字符串 SAN。 这些必须与 格式与 OpenSSL 相同: 默认: |
|
身份验证密码。 |
|
指定用于编组私钥的格式。 默认为 另一个选项是 选择
|
|
用于访问 Vault 服务的代理 URL。 它可以是字符串或字典。 如果它是字典,请提供方案(例如 如果它是字符串,请提供一个将用作 可以解释为字典的字符串将转换为字典(请参阅示例)。 您可以为 HTTP 和 HTTPS 资源指定不同的代理。 如果未指定,则使用来自 Requests 库的环境变量。 |
|
用于创建连接的 AWS 区域。 |
|
允许根据 urllib3 库中的 Retry 类在错误时进行重试。 此集合定义了重试与 Vault 连接的建议默认值。 此选项可以指定为正数(整数)或字典。 如果未指定此选项或数字为 数字设置重试的总次数,并对其他设置使用集合默认值。 字典值直接用于初始化 有关重试的详细信息,请参阅集合用户指南。 |
|
控制是否以及如何在重试时显示消息。 如果未重试请求,则此选项不起作用。 选择
|
|
Vault 角色 ID 或名称。在 对于 对于 |
|
指定要针对其创建证书的角色的名称。 |
|
用于 Vault AppRole 身份验证的密钥 ID。 |
|
设置连接超时时间(以秒为单位)。 如果未设置,则使用 |
|
Vault 令牌。可以通过列出的 [env] 变量以及 如果未显式或通过 env 提供令牌,则插件将检查令牌文件,如 token_path 和 token_file 所确定。 令牌加载顺序(先找到者优先)为 |
|
如果未指定令牌,则会尝试从 token_path 中的此文件中读取令牌。 默认值: |
|
如果未指定令牌,则会尝试从此路径读取 token_file。 |
|
对于令牌身份验证,将执行 如果您的令牌没有 选择
|
|
指定请求的生存时间。 不能大于角色的 如果未提供,则将使用角色的 请注意,如果未显式设置,则角色值默认为系统值。 |
|
指定请求的 URI 主题备用名称。 默认: |
|
Vault 服务的 URL。 如果未通过任何其他方式指定,则将使用 如果也未定义 |
|
身份验证用户名。 |
|
控制 SSL 证书的验证,通常只在自签名证书时才关闭此项。 如果设置了 如果未设置 validate_certs 或 选择
|
属性
属性 |
支持 |
描述 |
|---|---|---|
操作组: community.hashi_vault.vault |
在 |
|
支持: 部分 在检查模式下,此模块不会联系 Vault,并且会返回一个空的 |
可以在 |
另请参阅
另请参阅
- HashiCorp Vault PKI 密钥引擎 API
HashiCorp Vault PKI 密钥引擎的 API 文档。
- HVAC 库参考
有关 PKI 引擎的 HVAC 库参考。
示例
- name: Login and use the resulting token
community.hashi_vault.vault_login:
url: https://127.0.0.1:8200
auth_method: ldap
username: "john.doe"
password: "{{ user_passwd }}"
register: login_data
- name: Generate a certificate with an existing token
community.hashi_vault.vault_pki_generate_certificate:
role_name: test.example.org
common_name: test.example.org
ttl: 8760h
alt_names:
- test2.example.org
- test3.example.org
url: https://vault:8201
auth_method: token
token: "{{ login_data.login.auth.client_token }}"
register: cert_data
- name: Display generated certificate
debug:
msg: "{{ cert_data.data.data.certificate }}"
返回值
常见的返回值记录在此处,以下是此模块独有的字段
键 |
描述 |
|---|---|
有关新生成证书的信息 返回: 成功 |
|
负载 返回: 成功 |
|
CA 证书的链接列表。 返回: 成功 示例: |
|
生成的证书。 返回: 成功 示例: |
|
CA 证书。 返回: 成功 示例: |
|
用于生成证书的私钥。 返回: 成功 示例: |
|
私钥算法。 返回: 成功 示例: |
|
证书的序列号。 返回: 成功 示例: |
|
Vault 租约持续时间。 返回: 成功 示例: |
|
附加到证书的 Vault 租约。 返回: 成功 示例: |
|
如果证书可续订,则为 True。 返回: 成功 示例: |
|
Vault 在生成期间返回的警告。 返回: 成功 |