f5networks.f5_modules.bigip_profile_server_ssl 模块 – 在 BIG-IP 上管理服务器 SSL 配置文件

注意

此模块是 f5networks.f5_modules 集合 (版本 1.32.1) 的一部分。

如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install f5networks.f5_modules

要在剧本中使用它,请指定:f5networks.f5_modules.bigip_profile_server_ssl

f5networks.f5_modules 1.0.0 中的新增功能

概要

  • 在 BIG-IP 系统上管理服务器 SSL 配置文件。

参数

参数

注释

authenticate_name

字符串

指定嵌入在服务器证书中的通用名 (CN)。系统根据指定的 CN 对服务器进行身份验证。

ca_file

字符串

指定系统信任的服务器 CA。默认为 (None)。

certificate

字符串

指定系统用于服务器端 SSL 处理的证书名称。

chain

字符串

指定要与 SSL 配置文件关联的证书密钥链。

cipher_group

字符串

f5networks.f5_modules 1.12.0 中新增

指定要分配给此配置文件的密码组。

ciphers 参数正在使用时,cipher_group 必须设置为 none''

使用 cipher_group 创建新配置文件时,如果父配置文件默认情况下设置了 ciphers,则在创建过程中必须将 cipher 参数设置为 none''

此参数仅适用于 TMOS 版本 13.x 及更高版本。

ciphers

字符串

指定系统支持的密码列表。创建新配置文件时,密码列表由父配置文件提供。

cipher_group 参数正在使用时,ciphers 参数需要设置为 none''

key

字符串

指定 SSL 密钥的文件名。

name

字符串 / 必填

指定配置文件的名称。

ocsp_profile

字符串

指定 OCSP 配置文件的名称,用于验证服务器证书的状态。

options

列表 / 元素=字符串

系统以列表形式使用的 SSL 处理选项。创建新配置文件时,列表由父配置文件提供。

当为 ''none 时,所有 SSL 处理选项都将被禁用。

选项

  • "dont-insert-empty-fragments"

  • "no-ssl"

  • "no-dtls"

  • "no-session-resumption-on-renegotiation"

  • "no-tlsv1.1"

  • "no-tlsv1.2"

  • "no-tlsv1.3"

  • "single-dh-use"

  • "tls-rollback-bug"

  • "no-sslv3"

  • "no-tls"

  • "no-tlsv1"

  • "none"

parent

字符串

此监控模板的父模板。设置此值后,无法更改。

默认值: "/Common/serverssl"

partition

字符串

用于管理资源的设备分区。

默认值: "Common"

passphrase

字符串

指定用于加密密钥的密码。

provider

字典

f5networks.f5_modules 1.0.0 中新增

包含连接详细信息的字典对象。

auth_provider

字符串

配置身份验证提供程序以从远程设备获取身份验证令牌。

此选项在使用 BIG-IQ 设备时非常有用。

no_f5_teem

布尔值

如果为 yes,则不会将 TEEM 遥测数据发送到 F5。

您可以通过设置环境变量 F5_TELEMETRY_OFF 来省略此选项。

先前使用的变量 F5_TEEM 已弃用,因为其名称令人困惑。

选项

  • false ← (默认)

  • true

password

别名:pass,pwd

字符串 / 必填

用于连接到 BIG-IP 或 BIG-IQ 的用户帐户的密码。

您可以通过设置环境变量 F5_PASSWORD 来省略此选项。

server

字符串 / 必填

BIG-IP 主机或 BIG-IQ 主机。

您可以通过设置环境变量 F5_SERVER 来省略此选项。

server_port

整数

BIG-IP 服务器端口。

您可以通过设置环境变量 F5_SERVER_PORT 来省略此选项。

默认值: 443

timeout

整数

指定与网络设备通信的超时时间(以秒为单位),用于连接或发送命令。如果在操作完成之前超时,模块将出错。

transport

字符串

配置连接到远程设备时使用的传输连接。

选项

  • "rest" ← (默认)

user

字符串 / 必填

连接到 BIG-IP 或 BIG-IQ 的用户名。此用户必须在设备上具有管理权限。

您可以通过设置环境变量 F5_USER 来省略此选项。

validate_certs

布尔值

如果为 no,则不会验证 SSL 证书。仅在使用自签名证书的个人控制站点上使用此选项。

您可以通过设置环境变量 F5_VALIDATE_CERTS 来省略此选项。

选项

  • false

  • true ← (默认)

重新协商 (renegotiation)

布尔值

启用或禁用 SSL 重新协商。

创建新配置文件时,此设置由父配置文件提供。

选项

  • false

  • true

安全重新协商 (secure_renegotiation)

字符串

指定 SSL 连接安全重新协商的方法。创建新配置文件时,此设置由父配置文件提供。

当设置为 request 时,系统将请求 SSL 连接的安全重新协商。

require 是默认设置,设置为该值时,系统允许来自客户端的初始 SSL 握手,但会终止来自未打补丁客户端的重新协商。

使用 require-strict 设置时,系统需要严格的 SSL 连接重新协商。在此模式下,系统会拒绝与不安全服务器的连接,并终止与不安全服务器的现有 SSL 连接。

选项

  • "require"

  • "require-strict"

  • "request"

服务器证书 (server_certificate)

字符串

指定系统处理服务器证书的方式。

当设置为 ignore 时,系统会忽略来自服务器系统的证书。

当设置为 require 时,系统要求服务器提供有效的证书。

选项

  • "ignore"

  • "require"

服务器名称 (server_name)

字符串

指定服务器名称指示 (SNI) 通信中使用的服务器完全限定的 DNS 主机名。创建新配置文件时,此设置由父配置文件提供。

sni_default

布尔值

指示当没有与服务器名称匹配或客户端不提供 SNI 扩展支持时,系统使用此配置文件作为默认 SSL 配置文件。

创建新配置文件时,此设置由父配置文件提供。

只有一个 SSL 配置文件可以启用此设置。

选项

  • false

  • true

sni_require

布尔值

要求网络对等体也提供 SNI 支持。此设置仅在 sni_defaulttrue 时生效。

创建新配置文件时,此设置由父配置文件提供。

选项

  • false

  • true

状态 (state)

字符串

当设置为 present 时,确保配置文件存在。

当设置为 absent 时,确保配置文件被删除。

选项

  • "present" ← (默认)

  • "absent"

更新密码 (update_password)

字符串

always 允许用户选择更新密码。on_create 仅为新创建的配置文件设置密码。

选项

  • "always" ← (默认)

  • "on_create"

备注

注意

  • 有关使用 Ansible 管理 F5 网络设备的更多信息,请参见 https://ansible.org.cn/integrations/networks/f5

  • 需要 BIG-IP 软件版本 >= 12。

  • F5 模块仅操作 F5 产品的运行配置。为确保 BIG-IP 特定的配置持久保存到磁盘,请务必包含至少一项使用 f5networks.f5_modules.bigip_config 模块保存运行配置的任务。有关如何使用该模块保存运行配置的正确方法,请参阅该模块的文档。

示例

- name: Create a new server SSL profile
  bigip_profile_server_ssl:
    name: foo
    provider:
      password: secret
      server: lb.mydomain.com
      user: admin
  delegate_to: localhost

- name: Create server SSL profile with specific cipher group
  bigip_profile_server_ssl:
    state: present
    name: foo_group
    ciphers: "none"
    cipher_group: "/Common/f5-secure"
    provider:
      server: lb.mydomain.com
      user: admin
      password: secret
  delegate_to: localhost

返回值

常用的返回值已在 此处 记录,以下是此模块特有的字段

密钥 (Key)

描述

cipher_group

字符串

应用于配置文件的密码组。

返回:changed

示例:"/Common/f5-secure"

ciphers

字符串

应用于配置文件的密码。

返回:changed

示例:"!SSLv3:!SSLv2:ECDHE+AES-GCM+SHA256:ECDHE-RSA-AES128-CBC-SHA"

options

列表 / 元素=字符串

SSL 处理选项列表。

返回:changed

示例:["no-ssl", "no-sslv3"]

重新协商 (renegotiation)

布尔值

SSL 会话的重新协商。

返回:changed

示例:true

安全重新协商 (secure_renegotiation)

字符串

安全 SSL 重新协商的方法。

返回:changed

示例:"request"

作者

  • Tim Rupp (@caphrim007)