community.crypto.openssl_privatekey_convert 模块 – OpenSSL 私钥转换

注意

此模块是 community.crypto 集合 (版本 2.22.3) 的一部分。

如果您使用的是 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install community.crypto。您需要其他要求才能使用此模块,有关详细信息,请参阅 要求

要在 playbook 中使用它,请指定:community.crypto.openssl_privatekey_convert

community.crypto 2.1.0 中的新增功能

概要

  • 此模块允许转换 OpenSSL 私钥。

  • 如果未显式设置 mode,则私钥文件的默认模式为 0600

要求

执行此模块的主机需要以下要求。

  • cryptography >= 1.2.3(较旧的版本也可能有效)

参数

参数

注释

attributes

别名:attr

字符串

生成的 文件系统对象应具有的属性。

要获取支持的标志,请查看目标系统上 *chattr* 的手册页。

此字符串应按 *lsattr* 显示的顺序包含属性。

默认情况下假定使用 = 运算符,否则需要在字符串中包含 +- 运算符。

backup

布尔值

创建一个包含时间戳的备份文件,以便您可以意外地用新私钥覆盖原始私钥后找回它。

选项

  • false ← (默认)

  • true

dest_passphrase

字符串

要存储的私钥的密码。

dest_path

路径 / 必需

将生成的 TLS/SSL 私钥写入的文件名。如果未显式设置 mode,则其模式为 0600

format

字符串 / 必需

确定应以何种格式写入目标私钥。

请注意,并非所有密钥都可以导出为任何格式,并且并非所有格式都支持加密。

选项

  • "pkcs1"

  • "pkcs8"

  • "raw"

group

字符串

应拥有文件系统对象的组的名称,如同传递给 *chown* 一样。

如果未指定,则使用当前用户的当前组,除非您是 root 用户,在这种情况下,它可以保留之前的拥有者。

mode

任意

生成的 文件系统对象应具有的权限。

对于习惯使用 * /usr/bin/chmod* 的用户,请记住模式实际上是八进制数。您必须向 Ansible 提供足够的信息才能正确解析它们。为了获得一致的结果,请引用八进制数(例如,'644''1777'),以便 Ansible 接收到字符串并可以自行将字符串转换为数字。添加前导零(例如,0755)有时有效,但在循环和其他情况下可能会失败。

如果不遵循这些规则中的任何一条,则向 Ansible 提供数字将导致十进制数,这将产生意想不到的结果。

从 Ansible 1.8 开始,模式可以指定为符号模式(例如,u+rwxu=rw,g=r,o=r)。

如果未指定 mode 并且目标文件系统对象 **不存在**,则在设置新创建的文件系统对象的模式时,将使用系统上的默认 umask

如果未指定 mode 并且目标文件系统对象 **存在**,则将使用现有文件系统对象的模式。

指定 mode 是确保以正确的权限创建文件系统对象的最佳方法。有关详细信息,请参阅 CVE-2020-1736。

owner

字符串

应拥有文件系统对象的用户的名称,如同传递给 *chown* 一样。

如果未指定,则使用当前用户,除非您是 root 用户,在这种情况下,它可以保留之前的拥有者。

指定数字用户名将被假定为用户 ID,而不是用户名。避免使用数字用户名以避免这种混淆。

selevel

字符串

SELinux 文件系统对象上下文中的级别部分。

这是 MLS/MCS 属性,有时也称为range

设置为_default时,如果可用,它将使用策略的level部分。

serole

字符串

SELinux 文件系统对象上下文的角色部分。

设置为_default时,如果可用,它将使用策略的role部分。

setype

字符串

SELinux 文件系统对象上下文中的类型部分。

设置为_default时,如果可用,它将使用策略的type部分。

seuser

字符串

SELinux 文件系统对象上下文的用户部分。

默认情况下,它使用system策略(如果适用)。

设置为_default时,它将使用策略的user部分(如果可用)。

src_content

字符串

包含要转换的 OpenSSL 私钥的文件的内容。

必须指定src_pathsrc_content中的一个。

src_passphrase

字符串

要加载的私钥的密码。

src_path

path

包含要转换的 OpenSSL 私钥的文件名。

必须指定src_pathsrc_content中的一个。

unsafe_writes

布尔值

影响何时使用原子操作来防止目标文件系统对象的数据损坏或不一致读取。

默认情况下,此模块使用原子操作来防止目标文件系统对象的数据损坏或不一致读取,但有时系统配置错误或损坏,无法实现原子操作。例如,Docker 挂载的文件系统对象就无法在容器内以原子方式更新,只能以非安全方式写入。

此选项允许 Ansible 在原子操作失败时回退到非安全的文件系统对象更新方法(但是,它不会强制 Ansible 执行非安全写入)。

重要!非安全写入容易发生竞争条件,并可能导致数据损坏。

选项

  • false ← (默认)

  • true

属性

属性

支持

描述

check_mode

支持:完全支持

可以在check_mode下运行,并在不修改目标的情况下返回更改状态预测。

diff_mode

支持:不支持

处于差异模式时,将返回有关已更改内容(或可能需要在check_mode中更改的内容)的详细信息。

safe_file_operations

支持:完全支持

使用 Ansible 的严格文件操作功能来确保正确的权限并避免数据损坏。

另请参阅

另请参阅

community.crypto.openssl_privatekey

生成 OpenSSL 私钥。

community.crypto.openssl_privatekey_pipe

无需磁盘访问即可生成 OpenSSL 私钥。

community.crypto.openssl_publickey

根据其私钥生成 OpenSSL 公钥。

示例

- name: Convert private key to PKCS8 format with passphrase
  community.crypto.openssl_privatekey_convert:
    src_path: /etc/ssl/private/ansible.com.pem
    dest_path: /etc/ssl/private/ansible.com.key
    dest_passphrase: '{{ private_key_passphrase }}'
    format: pkcs8

返回值

常见的返回值已在此处记录,以下是此模块独有的字段

描述

backup_file

字符串

创建的备份文件名。

返回:changed 和如果backuptrue

示例:"/path/to/privatekey.pem.2019-03-09@11:22~"

作者

  • Felix Fontein (@felixfontein)