community.crypto.x509_crl_info 模块 – 获取证书吊销列表 (CRL) 的信息

注意

此模块是 community.crypto 集合(版本 2.22.3)的一部分。

如果您使用的是 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用: ansible-galaxy collection install community.crypto。您需要进一步的要求才能使用此模块,有关详细信息,请参见 要求

要在 playbook 中使用它,请指定: community.crypto.x509_crl_info

community.crypto 1.0.0 中的新增功能

概要

  • 此模块允许获取证书吊销列表 (CRL) 的信息。

要求

在执行此模块的主机上需要满足以下要求。

参数

参数

注释

content

字符串

PEM 格式的 X.509 CRL 内容,或 Base64 编码的 X.509 CRL。

必须指定 pathcontent,但不能同时指定两者。

list_revoked_certificates

布尔值

在 community.crypto 1.7.0 中添加

如果设置为 false,则结果中不包含吊销证书的列表。

当检索大型 CRL 文件上的信息时,这很有用。枚举所有吊销的证书可能需要一些时间,包括将结果序列化为 JSON,将其发送到 Ansible 控制器,然后再次解码。

选择

  • false

  • true ←(默认)

name_encoding

字符串

如何在返回值中编码名称(DNS 名称、URI、电子邮件地址)。

ignore 将使用后端返回的编码。

idna 会将域名所有标签转换为 IDNA 编码。将优先使用 IDNA2008,如果 IDNA2008 编码失败,则使用 IDNA2003。

unicode 会将域名所有标签转换为 Unicode。将优先使用 IDNA2008,如果 IDNA2008 解码失败,则使用 IDNA2003。

注意idnaunicode 需要安装 idna Python 库

选择

  • "ignore" ←(默认)

  • "idna"

  • "unicode"

path

path

应创建或已存在生成的 CRL 文件的远程绝对路径。

必须指定 pathcontent,但不能同时指定两者。

属性

属性

支持

描述

check_mode

支持:完全

此操作不会修改状态。

可以在 check_mode 中运行,并返回已更改的状态预测,而无需修改目标。

diff_mode

支持: 不适用

此操作不会修改状态。

当处于 diff 模式时,将返回有关已更改内容(或可能需要在 check_mode 中更改的内容)的详细信息。

备注

注意

  • 所有时间戳值均以 ASN.1 TIME 格式提供,换句话说,遵循 YYYYMMDDHHMMSSZ 模式。它们都在 UTC 中。

另请参阅

另请参阅

community.crypto.x509_crl

生成证书吊销列表 (CRL)。

community.crypto.x509_crl_info 过滤器插件

此模块的过滤器变体。

community.crypto.to_serial 过滤器插件

将整数转换为以冒号分隔的十六进制数字列表。

示例

- name: Get information on CRL
  community.crypto.x509_crl_info:
    path: /etc/ssl/my-ca.crl
  register: result

- name: Print the information
  ansible.builtin.debug:
    msg: "{{ result }}"

- name: Get information on CRL without list of revoked certificates
  community.crypto.x509_crl_info:
    path: /etc/ssl/very-large.crl
    list_revoked_certificates: false
  register: result

返回值

通用返回值在此处记录 此处,以下是此模块特有的字段

描述

digest

字符串

用于签署 CRL 的签名算法。

返回: 成功

示例: "sha256WithRSAEncryption"

format

字符串

CRL 是 PEM 格式 (pem) 还是 DER 格式 (der)。

返回: 成功

只能返回

  • "pem"

  • "der"

示例: "pem"

issuer

字典

CRL 的颁发者。

请注意,对于重复值,仅返回最后一个。

关于如何处理 IDN,请参阅 name_encoding

返回: 成功

示例: {"commonName": "ca.example.com", "organizationName": "Ansible"}

issuer_ordered

列表 / 元素=列表

CRL 的颁发者,以元组的有序列表形式表示。

返回: 成功

示例: [["organizationName", "Ansible"], [{"commonName": "ca.example.com"}]]

last_update

字符串

此 CRL 可信任的时间点,为 ASN.1 TIME 格式。

返回: 成功

示例: "20190413202428Z"

next_update

字符串

将发布新的 CRL,客户端必须检查它的时间点,为 ASN.1 TIME 格式。

返回: 成功

示例: "20190413202428Z"

revoked_certificates

列表 / 元素=字典

要吊销的证书列表。

返回: 如果 list_revoked_certificates=true 则成功

invalidity_date

字符串

得知/怀疑私钥被泄露或证书失效的时间点,为 ASN.1 TIME 格式。

返回: 成功

示例: "20190413202428Z"

invalidity_date_critical

布尔值

失效日期扩展是否关键。

返回: 成功

示例: false

issuer

列表 / 元素=字符串

证书的颁发者。

关于如何处理 IDN,请参阅 name_encoding

返回: 成功

示例: ["DNS:ca.example.org"]

issuer_critical

布尔值

证书颁发者扩展是否关键。

返回: 成功

示例: false

reason

字符串

吊销原因扩展的值。

返回: 成功

只能返回

  • "unspecified" (未指定)

  • "key_compromise" (密钥泄露)

  • "ca_compromise" (CA 泄露)

  • "affiliation_changed" (隶属关系变更)

  • "superseded" (被取代)

  • "cessation_of_operation" (停止运营)

  • "certificate_hold" (证书暂停)

  • "privilege_withdrawn" (权限撤销)

  • "aa_compromise" (AA 泄露)

  • "remove_from_crl" (从 CRL 中删除)

示例: "key_compromise"

reason_critical

布尔值

吊销原因扩展是否关键。

返回: 成功

示例: false

revocation_date

字符串

证书被吊销的时间点,为 ASN.1 TIME 格式。

返回: 成功

示例: "20190413202428Z"

serial_number

整数

证书的序列号。

此返回值是一个整数。如果需要以冒号分隔的十六进制字符串形式(例如 11:22:33)表示序列号,则需要使用 community.crypto.to_serial 将其转换为该形式。

返回: 成功

示例: 1234

作者

  • Felix Fontein (@felixfontein)