f5networks.f5_modules.bigip_ssl_ocsp 模块 – 管理 BIG-IP 上的 OCSP 配置

注意

此模块是 f5networks.f5_modules 集合 (版本 1.32.1) 的一部分。

如果您使用的是 ansible 包，则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install f5networks.f5_modules。

要在剧本中使用它，请指定：f5networks.f5_modules.bigip_ssl_ocsp。

f5networks.f5_modules 1.0.0 中的新增功能

概要 

管理 BIG-IP 系统上的 OCSP 配置。

参数 

参数	注释
cache_error_timeout 整数	指定缓存中错误响应的生存时间（秒）。
cache_timeout 字符串	指定缓存中 OCSP 响应的生存时间（秒）。
certificate 字符串	指定用于签署 OCSP 请求的证书。
clock_skew 整数	指定响应程序和 BIG-IP 系统时钟之间可容忍的绝对差值（秒）。
connection_timeout 整数	指定 BIG-IP 系统在结束与 OCSP 响应程序的连接之前等待的时间间隔（秒）。
connections_limit 整数	指定允许 OCSP 证书验证程序每秒连接的最大数量。
dns_resolver 字符串	指定 BIG-IP 系统用于获取 OCSP 响应的内部 DNS 解析器。这需要在 DNS 解析器配置中指定一个或多个 DNS 服务器。当存在可以进行 OCSP 响应程序名称解析的 DNS 服务器，或者可以在 BIG-IP 系统的一个接口上访问 OCSP 响应程序时，使用此选项。
hash_algorithm 字符串	指定用于签署 OCSP 请求的哈希算法。选项 `"sha256"` `"sha1"`
key 字符串	指定用于签署 OCSP 请求的密钥。
name 字符串 / 必需	指定 OCSP 证书验证程序的名称。
partition 字符串	要管理其资源的设备分区。默认值： `"Common"`
passphrase 字符串	指定用于签署 OCSP 请求的密码。
provider 字典 f5networks.f5_modules 1.0.0 中新增	包含连接详细信息的字典对象。
auth_provider 字符串	配置身份验证提供程序，以从远程设备获取身份验证令牌。此选项在使用 BIG-IQ 设备时非常有用。
no_f5_teem 布尔值	如果为 `yes`，则不会将 TEEM 遥测数据发送到 F5。您可以通过设置环境变量 `F5_TELEMETRY_OFF` 来省略此选项。先前使用的变量 `F5_TEEM` 已弃用，因为其名称令人困惑。选项 `false` ← (默认) `true`
password 别名：pass，pwd 字符串 / 必需	用于连接到 BIG-IP 或 BIG-IQ 的用户帐户的密码。您可以通过设置环境变量 `F5_PASSWORD` 来省略此选项。
server 字符串 / 必需	BIG-IP 主机或 BIG-IQ 主机。您可以通过设置环境变量 `F5_SERVER` 来省略此选项。
server_port 整数	BIG-IP 服务器端口。您可以通过设置环境变量 `F5_SERVER_PORT` 来省略此选项。默认值： `443`
timeout 整数	指定与网络设备通信的超时时间（秒），用于连接或发送命令。如果在操作完成之前超时，模块将出错。
transport 字符串	配置连接到远程设备时要使用的传输连接。选项 `"rest"` ← (默认)
user 字符串 / 必需	连接到 BIG-IP 或 BIG-IQ 的用户名。此用户必须在设备上具有管理员权限。您可以通过设置环境变量 `F5_USER` 来省略此选项。
validate_certs 布尔值	如果为 `no`，则不验证 SSL 证书。仅在使用自签名证书的个人控制站点上使用此选项。您可以通过设置环境变量 `F5_VALIDATE_CERTS` 来省略此选项。选项 `false` `true` ← (默认)
proxy_server_pool 字符串	指定 BIG-IP 系统用于获取 OCSP 响应的代理服务器池。这需要创建一个包含代理服务器的池。当无法在任何 BIG-IP 系统接口上访问 OCSP 响应程序，或者一个或多个服务器可以将 HTTP 请求代理到外部服务器并获取响应时，使用此选项。
responder_url 字符串	指定覆盖从证书的 AIA 扩展名获得的 OCSP 响应程序 URL 的绝对 URL。这应为基于 HTTP 的 URL。
route_domain 字符串	指定使用 HTTP 正向代理获取 OCSP 响应的路由域。
state 字符串	当 `present` 时，确保资源存在。当 `absent` 时，确保资源不存在。选项 `"present"` ← (默认) `"absent"`
status_age 整数	指定 BIG-IP 系统接受 OCSP 响应中“thisUpdate”时间的最大允许延迟时间。
strict_responder_checking 布尔值	指定是否检查响应者的证书是否存在 OCSP 签名扩展。选项 `false` `true`
trusted_responders 字符串	指定在响应中省略响应者的证书时，用于验证 OCSP 响应的证书。
update_password 字符串	`always` 允许用户更新密码。`on_create` 只为新创建的 OCSP 验证器设置密码。选项 `"always"` ← (默认) `"on_create"`

备注 

注意

需要 BIG-IP >= 13.x。
有关使用 Ansible 管理 F5 网络设备的更多信息，请参见 https://ansible.org.cn/integrations/networks/f5。
需要 BIG-IP 软件版本 >= 12。
F5 模块仅操作 F5 产品的运行配置。为确保 BIG-IP 特定配置持久保存到磁盘，请务必包含至少一项使用 f5networks.f5_modules.bigip_config 模块保存运行配置的任务。请参考模块文档了解保存运行配置的正确使用方法。

示例 

- name: Create a OCSP validator
  bigip_ssl_ocsp:
    name: foo
    proxy_server_pool: validators-pool
    provider:
      password: secret
      server: lb.mydomain.com
      user: admin
  delegate_to: localhost

返回值 

常见返回值已在此处记录，以下是此模块独有的字段

键	描述
cache_error_timeout 整数	新的响应缓存错误超时值。返回：changed 示例：`3600`
cache_timeout 字符串	新的响应缓存超时值。返回：changed 示例：`"indefinite"`
certificate 字符串	新的请求签名证书值。返回：changed 示例：`"/Common/cert1"`
clock_skew 整数	新的响应验证时钟偏差值。返回：changed 示例：`300`
connection_timeout 整数	新的连接超时值。返回：changed 示例：`8`
connections_limit 整数	新的并发连接限制值。返回：changed 示例：`50`
dns_resolver 字符串	新的 DNS 解析器值。返回：changed 示例：`"/Common/resolver1"`
hash_algorithm 字符串	新的请求签名哈希算法值。返回：changed 示例：`"sha256"`
key 字符串	新的请求签名密钥值。返回：changed 示例：`"/Common/key1"`
proxy_server_pool 字符串	新的代理服务器池值。返回：changed 示例：`"/Common/pool1"`
responder_url 字符串	新的连接响应程序 URL 值。返回：changed 示例：`"http://responder.site.com"`
route_domain 字符串	新的路由域值。返回：changed 示例：`"/Common/0"`
status_age 整数	新的响应验证状态年龄值。返回：changed 示例：`0`
strict_responder_checking 布尔值	新的响应验证严格响应者证书检查值。返回：changed 示例：`true`
trusted_responders 整数	新的响应验证受信任响应者值。返回：changed 示例：`"/Common/default"`

作者

Tim Rupp (@caphrim007)