f5networks.f5_modules.bigip_ssl_ocsp 模块 – 在 BIG-IP 上管理 OCSP 配置

注意

此模块是 f5networks.f5_modules 集合（版本 1.32.1）的一部分。

如果您使用的是 ansible 包，则可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install f5networks.f5_modules。

要在 playbook 中使用它，请指定：f5networks.f5_modules.bigip_ssl_ocsp。

f5networks.f5_modules 1.0.0 中的新增功能

概要 

管理 BIG-IP 系统上的 OCSP 配置。

参数 

参数	注释
cache_error_timeout 整数	指定缓存中错误响应的生存期，以秒为单位。
cache_timeout 字符串	指定缓存中 OCSP 响应的生存期，以秒为单位。
certificate 字符串	指定用于签署 OCSP 请求的证书。
clock_skew 整数	指定响应者和 BIG-IP 系统的时钟之间可容忍的绝对差异，以秒为单位。
connection_timeout 整数	指定 BIG-IP 系统在结束与 OCSP 响应者的连接之前等待的时间间隔，以秒为单位。
connections_limit 整数	指定 OCSP 证书验证器每秒允许的最大连接数。
dns_resolver 字符串	指定 BIG-IP 系统用于获取 OCSP 响应的内部 DNS 解析器。这涉及到在 DNS 解析器配置中指定一个或多个 DNS 服务器。当存在可以进行 OCSP 响应者名称解析的 DNS 服务器，或者可以通过 BIG-IP 系统的接口之一访问 OCSP 响应者时，请使用此选项。
hash_algorithm 字符串	指定用于签署 OCSP 请求的哈希算法。选择 `"sha256"` `"sha1"`
key 字符串	指定用于签署 OCSP 请求的密钥。
name 字符串 / 必需	指定 OCSP 证书验证器的名称。
partition 字符串	设备分区以管理资源。默认值： `"Common"`
passphrase 字符串	指定用于签署 OCSP 请求的密码。
provider 字典在 f5networks.f5_modules 1.0.0 中添加	包含连接详细信息的字典对象。
auth_provider 字符串	配置身份验证提供程序以从远程设备获取身份验证令牌。此选项在与 BIG-IQ 设备一起工作时真正使用。
no_f5_teem 布尔值	如果为 `yes`，则不会将 TEEM 遥测数据发送到 F5。您可以通过设置环境变量 `F5_TELEMETRY_OFF` 来省略此选项。先前使用的变量 `F5_TEEM` 已弃用，因为它的名称令人困惑。选择 `false` ← (默认) `true`
password 别名：pass、pwd 字符串 / 必需	用于连接到 BIG-IP 或 BIG-IQ 的用户帐户的密码。您可以通过设置环境变量 `F5_PASSWORD` 来省略此选项。
server 字符串 / 必需	BIG-IP 主机或 BIG-IQ 主机。您可以通过设置环境变量 `F5_SERVER` 来省略此选项。
server_port 整数	BIG-IP 服务器端口。您可以通过设置环境变量 `F5_SERVER_PORT` 来省略此选项。默认值： `443`
timeout 整数	指定与网络设备通信（用于连接或发送命令）的超时时间（以秒为单位）。如果在操作完成之前超出超时时间，则模块将出错。
transport 字符串	配置连接到远程设备时使用的传输连接。选择 `"rest"` ← (默认)
user 字符串 / 必需	连接到 BIG-IP 或 BIG-IQ 的用户名。此用户必须在设备上具有管理权限。您可以通过设置环境变量 `F5_USER` 来省略此选项。
validate_certs 布尔值	如果为 `no`，则不验证 SSL 证书。仅在个人控制的使用自签名证书的站点上使用此选项。您可以通过设置环境变量 `F5_VALIDATE_CERTS` 来省略此选项。选择 `false` `true` ← (默认)
proxy_server_pool 字符串	指定 BIG-IP 系统用于获取 OCSP 响应的代理服务器池。这涉及到使用代理服务器创建池。当无法通过任何 BIG-IP 系统的接口访问 OCSP 响应者，或者一个或多个服务器可以将 HTTP 请求代理到外部服务器并获取响应时，请使用此选项。
responder_url 字符串	指定覆盖从证书的 AIA 扩展获得的 OCSP 响应者 URL 的绝对 URL。这应该是一个基于 HTTP 的 URL。
route_domain 字符串	指定用于使用 HTTP 转发代理获取 OCSP 响应的路由域。
state 字符串	当为 `present` 时，确保资源存在。当为 `absent` 时，确保资源不存在。选择 `"present"` ← (默认) `"absent"`
status_age 整数	指定 BIG-IP 系统接受的 OCSP 响应中“thisUpdate”时间的最大允许滞后时间。
strict_responder_checking 布尔值	指定是否检查响应者的证书是否存在 OCSP 签名扩展。选择 `false` `true`
trusted_responders 字符串	指定当响应者的证书从响应中省略时用于验证 OCSP 响应的证书。
update_password 字符串	`always` 允许用户更新密码。`on_create` 仅为新创建的 OCSP 验证器设置密码。选择 `"always"` ← (默认) `"on_create"`

说明 

注意

需要 BIG-IP >= 13.x。
有关使用 Ansible 管理 F5 Networks 设备的更多信息，请参阅 https://ansible.org.cn/integrations/networks/f5。
需要 BIG-IP 软件版本 >= 12。
F5 模块仅操作 F5 产品的运行配置。为确保 BIG-IP 的特定配置持久保存到磁盘，请务必包含至少一个使用 f5networks.f5_modules.bigip_config 模块保存运行配置的任务。有关正确使用该模块保存运行配置的信息，请参阅该模块的文档。

示例 

- name: Create a OCSP validator
  bigip_ssl_ocsp:
    name: foo
    proxy_server_pool: validators-pool
    provider:
      password: secret
      server: lb.mydomain.com
      user: admin
  delegate_to: localhost

返回值 

通用返回值记录在此处此处，以下是此模块特有的字段

键	描述
cache_error_timeout 整数	新的响应缓存错误超时值。返回： changed 示例： `3600`
cache_timeout 字符串	新的响应缓存超时值。返回： changed 示例： `"indefinite"`
certificate 字符串	新的请求签名证书值。返回： changed 示例： `"/Common/cert1"`
clock_skew 整数	新的响应验证时钟偏移值。返回： changed 示例： `300`
connection_timeout 整数	新的连接超时值。返回： changed 示例： `8`
connections_limit 整数	新的并发连接限制值。返回： changed 示例： `50`
dns_resolver 字符串	新的 DNS 解析器值。返回： changed 示例： `"/Common/resolver1"`
hash_algorithm 字符串	新的请求签名哈希算法值。返回： changed 示例： `"sha256"`
key 字符串	新的请求签名密钥值。返回： changed 示例： `"/Common/key1"`
proxy_server_pool 字符串	新的代理服务器池值。返回： changed 示例： `"/Common/pool1"`
responder_url 字符串	新的连接响应器 URL 值。返回： changed 示例： `"http://responder.site.com"`
route_domain 字符串	新的路由域值。返回： changed 示例： `"/Common/0"`
status_age 整数	新的响应验证状态期限值。返回： changed 示例： `0`
strict_responder_checking 布尔值	新的响应验证严格响应器证书检查值。返回： changed 示例： `true`
trusted_responders 整数	新的响应验证信任响应器值。返回： changed 示例： `"/Common/default"`

作者

Tim Rupp (@caphrim007)