community.hashi_vault.vault_pki_generate_certificate 模块 – 使用 HashiCorp Vault PKI 生成新的凭据集(私钥和证书)
注意
此模块是 community.hashi_vault 集合 (版本 6.2.0) 的一部分。
如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install community.hashi_vault。您需要其他要求才能使用此模块,有关详细信息,请参阅 要求。
要在剧本中使用它,请指定:community.hashi_vault.vault_pki_generate_certificate。
community.hashi_vault 2.3.0 中的新增功能
概要
根据 Vault PKI 角色生成新的凭据集(私钥和证书)。
要求
执行此模块的主机需要以下要求。
参数
参数 |
注释 |
|---|---|
指定请求的主题备用名称。 这些可以是主机名或电子邮件地址;它们将被解析到各自的字段中。 如果任何请求的名称与角色策略不匹配,则整个请求将被拒绝。 默认值: |
|
要使用的身份验证方法。
选项
|
|
要使用的 AWS 访问密钥。 |
|
如果指定,则将值设置为用于 |
|
AWS 配置文件 |
|
与访问密钥对应的 AWS 密钥。 |
|
如果使用临时访问密钥和密钥,则为 AWS 安全令牌。 |
|
Azure AD 服务主体或托管身份的客户端 ID(也称为应用程序 ID)。应为 UUID。 如果未指定,将使用系统分配的托管身份。 |
|
Azure AD 服务主体的客户端密钥。 |
|
在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应更改默认值。 默认值: |
|
服务主体的 Azure Active Directory 租户 ID(也称为目录 ID)。应为 UUID。 当使用服务主体对 Vault 进行身份验证时需要,例如,当同时指定 *azure_client_id* 和 *azure_client_secret* 时需要。 当使用托管身份对 Vault 进行身份验证时,可选。 |
|
用于身份验证的证书的路径。 如果没有通过任何其他方式指定,则将使用 |
|
对于 |
|
对于 |
|
指定证书请求的 CN (通用名称)。 如果角色策略允许该 CN,则将颁发证书。 |
|
指定 PKI 引擎使用的挂载点。 默认为 |
|
如果为真,则给定的 common_name 将不包含在 DNS 或电子邮件主题备用名称 (视情况而定) 中。 如果 CN 不是主机名或电子邮件地址,而是某种人类可读的标识符,则此选项很有用。 选项
|
|
指定返回数据的格式。 可以是 如果为 如果为 选项
|
|
指定请求的 IP 主题备用名称。 仅当角色允许 IP SAN(默认为允许)时有效。 默认值: |
|
用于 JWT 身份验证到 Vault 的 JSON Web 令牌 (JWT)。 |
|
Vault 挂载点。 如果未指定,则使用给定身份验证方法的默认挂载点。 不适用于令牌身份验证。 |
|
Vault 中秘密所在的命名空间。此选项需要 HVAC 0.7.0+ 和 Vault 0.11+。 可选地,这可以通过在身份验证挂载点和/或秘密路径前添加命名空间来实现(例如 如果设置了环境变量 |
|
指定自定义 OID/UTF8 字符串 SAN。 这些必须与角色中 格式与 OpenSSL 相同: 默认值: |
|
身份验证密码。 |
|
指定编组私钥的格式。 默认为 另一个选项是 选项
|
|
用于访问 Vault 服务的代理的 URL。 它可以是字符串或字典。 如果是字典,请提供方案(例如 如果是字符串,请提供单个 URL,该 URL 将用作 可以解释为字典的字符串将转换为字典(参见示例)。 您可以为 HTTP 和 HTTPS 资源指定不同的代理。 如果未指定,则使用 Requests 库的环境变量。 |
|
要为此创建连接的 AWS 区域。 |
|
允许根据 urllib3 库中的 Retry 类 重试错误。 此集合定义了重试与 Vault 建立连接的推荐默认值。 此选项可以指定为正数(整数)或字典。 如果未指定此选项或数字为 数字设置重试的总数,并使用集合默认值进行其他设置。 字典值直接用于初始化 有关重试的详细信息,请参阅集合用户指南。 |
|
控制是否以及如何显示 retries 的消息。 如果未重试请求,则此选项无效。 选项
|
|
Vault 角色 ID 或名称。用于 对于 对于 |
|
指定要针对其创建证书的角色的名称。 |
|
用于 Vault AppRole 身份验证的密钥 ID。 |
|
设置连接超时(以秒为单位)。 如果未设置,则使用 |
|
Vault 令牌。可以通过列出的 [env] 变量以及 如果没有显式或通过 env 提供令牌,则插件将检查令牌文件,由 token_path 和 token_file 确定。 令牌加载顺序(先找到先使用)为 |
|
如果未指定令牌,则将尝试从 token_path 中的此文件中读取令牌。 默认值: |
|
如果未指定令牌,则将尝试从此路径读取 token_file。 |
|
对于令牌身份验证,将执行 如果您的令牌没有 选项
|
|
指定请求的生存时间。 不能大于角色的 如果未提供,则将使用角色的 请注意,如果未显式设置,则角色值默认为系统值。 |
|
指定请求的 URI 主题备用名称。 默认值: |
|
Vault 服务的 URL。 如果未通过任何其他方式指定,则将使用 如果 |
|
身份验证用户名。 |
|
控制 SSL 证书的验证和确认,大多数情况下,只有在使用自签名证书时才需要关闭。 如果设置了 如果未设置 validate_certs 或 选项
|
属性
属性 |
支持 |
描述 |
|---|---|---|
动作组: community.hashi_vault.vault |
在 |
|
支持: 部分 在检查模式下,此模块不会联系 Vault,并将返回一个空的 |
可以在 |
另请参阅
另请参阅
- HashiCorp Vault PKI 密钥引擎 API
HashiCorp Vault PKI 密钥引擎的 API 文档。
- HVAC 库参考
关于 PKI 引擎的 HVAC 库参考。
示例
- name: Login and use the resulting token
community.hashi_vault.vault_login:
url: https://127.0.0.1:8200
auth_method: ldap
username: "john.doe"
password: "{{ user_passwd }}"
register: login_data
- name: Generate a certificate with an existing token
community.hashi_vault.vault_pki_generate_certificate:
role_name: test.example.org
common_name: test.example.org
ttl: 8760h
alt_names:
- test2.example.org
- test3.example.org
url: https://vault:8201
auth_method: token
token: "{{ login_data.login.auth.client_token }}"
register: cert_data
- name: Display generated certificate
debug:
msg: "{{ cert_data.data.data.certificate }}"
返回值
常见的返回值已在此处记录,以下是此模块特有的字段
键 |
描述 |
|---|---|
有关新生成证书的信息 返回:成功 |
|
有效负载 返回:成功 |
|
CA 证书的链表。 返回:成功 示例: |
|
生成的证书。 返回:成功 示例: |
|
CA 证书。 返回:成功 示例: |
|
用于生成证书的私钥。 返回:成功 示例: |
|
私钥算法。 返回:成功 示例: |
|
证书的序列号。 返回:成功 示例: |
|
Vault 租约期限。 返回:成功 示例: |
|
附加到证书的 Vault 租约。 返回:成功 示例: |
|
如果证书可续期则为 True。 返回:成功 示例: |
|
Vault 在生成过程中返回的警告。 返回:成功 |