community.crypto.openssl_csr 模块 – 生成 OpenSSL 证书签名请求 (CSR)

注意

此模块是 community.crypto 集合(版本 2.22.3)的一部分。

如果您正在使用 ansible 包,则可能已经安装了此集合。 它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install community.crypto。 您需要进一步的要求才能使用此模块,请参阅要求了解详细信息。

要在 playbook 中使用它,请指定:community.crypto.openssl_csr

概要

  • 请注意,如果现有 CSR 与模块的选项不匹配,或者似乎已损坏,则该模块会重新生成现有 CSR。 如果您担心这会覆盖您现有的 CSR,请考虑使用 backup 选项。

  • 此模块允许您(重新)生成 OpenSSL 证书签名请求。

  • 此模块支持 subjectAltName、keyUsage、extendedKeyUsage、basicConstraints 和 OCSP Must Staple 扩展。

要求

以下要求需要在执行此模块的主机上满足。

  • cryptography >= 1.3

参数

参数

注释

attributes

别名: attr

字符串

生成的 文件系统对象应具有的属性。

要获取支持的标志,请查看目标系统上 chattr 的手册页。

此字符串应包含与 lsattr 显示的顺序相同的属性。

= 运算符被假定为默认值,否则需要在字符串中包含 +- 运算符。

authority_cert_issuer

列表 / 元素=字符串

将出现在证书签名请求的授权证书颁发者字段中的名称。

值必须以其选项为前缀。 (即,emailURIDNSRIDIPdirNameotherName,以及特定于您的 CA 的那些)

示例:DNS:ca.example.org

如果指定,还必须指定 authority_cert_serial_number

请注意,商业 CA 会忽略此值,分别使用他们自己选择的值。 指定此选项主要对自签名证书或自己的 CA 有用。

请注意,仅当使用 cryptography 后端时才支持此功能!

仅当指定了 authority_key_identifierauthority_cert_issuerauthority_cert_serial_number 中的至少一个时,才会添加 AuthorityKeyIdentifier 扩展。

authority_cert_serial_number

整数

授权证书序列号。

如果指定,还必须指定 authority_cert_issuer

请注意,仅当使用 cryptography 后端时才支持此功能!

请注意,商业 CA 会忽略此值,分别使用他们自己选择的值。 指定此选项主要对自签名证书或自己的 CA 有用。

仅当指定了 authority_key_identifierauthority_cert_issuerauthority_cert_serial_number 中的至少一个时,才会添加 AuthorityKeyIdentifier 扩展。

此选项接受一个 整数。 如果要将序列号作为冒号分隔的十六进制字符串提供,例如 11:22:33,则需要使用 community.crypto.parse_serial 将它们转换为整数。

authority_key_identifier

字符串

授权密钥标识符,为十六进制字符串,其中两个字节以冒号分隔。

示例:00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff:00:11:22:33

请注意,商业 CA 会忽略此值,分别使用他们自己选择的值。 指定此选项主要对自签名证书或自己的 CA 有用。

请注意,仅当使用 cryptography 后端时才支持此功能!

仅当指定了 authority_key_identifierauthority_cert_issuerauthority_cert_serial_number 中的至少一个时,才会添加 AuthorityKeyIdentifier 扩展。

backup

布尔值

创建一个包含时间戳的备份文件,以便您在意外使用新文件覆盖原始 CSR 时能够恢复原始 CSR。

选项

  • false ← (默认)

  • true

basic_constraints

别名: basicConstraints

列表 / 元素=字符串

指示基本约束,例如证书是否为 CA。

basic_constraints_critical

别名: basicConstraints_critical

布尔值

basicConstraints 扩展是否应被视为关键。

选项

  • false ← (默认)

  • true

common_name

别名: CN, commonName

字符串

证书签名请求主题的 commonName 字段。

country_name

别名: C, countryName

字符串

证书签名请求主题的 countryName 字段。

create_subject_key_identifier

布尔值

从公钥创建主题密钥标识符。

请注意,商业 CA 可能会忽略该值,或者选择使用他们自己的值。指定此选项主要对自签名证书或自己的 CA 有用。

请注意,仅当使用 cryptography 后端时才支持此功能!

选项

  • false ← (默认)

  • true

crl_distribution_points

列表 / 元素=字典

在 community.crypto 1.4.0 中添加

允许指定一个或多个 CRL 分发点。

cryptography 后端支持。

crl_issuer

列表 / 元素=字符串

关于 CRL 颁发者的信息。

full_name

列表 / 元素=字符串

描述如何检索 CRL。

crl_distribution_points[].relative_name 互斥。

示例:URI:https://ca.example.com/revocations.crl

reasons

列表 / 元素=字符串

执行吊销检查时,此分发点可用于的原因列表。

选项

  • "key_compromise"

  • "ca_compromise"

  • "affiliation_changed"

  • "superseded"

  • "cessation_of_operation"

  • "certificate_hold"

  • "privilege_withdrawn"

  • "aa_compromise"

relative_name

列表 / 元素=字符串

描述如何相对于 CRL 颁发者检索 CRL。

crl_distribution_points[].full_name 互斥。

示例:/CN=example.com

只有安装了 cryptography >= 1.6 时才能使用。

digest

字符串

使用私钥签署证书签名请求时使用的摘要。

默认: "sha256"

email_address

别名:E、emailAddress

字符串

证书签名请求主题的 emailAddress 字段。

extended_key_usage

别名:extKeyUsage、extendedKeyUsage

列表 / 元素=字符串

对公钥可能被使用的允许目的的附加限制(例如客户端身份验证、服务器身份验证)。

extended_key_usage_critical

别名:extKeyUsage_critical、extendedKeyUsage_critical

布尔值

extkeyUsage 扩展是否应被视为关键。

选项

  • false ← (默认)

  • true

force

布尔值

是否应由此 Ansible 模块强制重新生成证书签名请求。

选项

  • false ← (默认)

  • true

group

字符串

应该拥有文件系统对象的所有者的组名,与提供给 chown 的名称相同。

如果未指定,则使用当前用户的当前组,除非您是 root 用户,在这种情况下,它可以保留以前的所有权。

key_usage

别名:keyUsage

列表 / 元素=字符串

这定义了证书中包含的密钥的目的(例如加密、签名、证书签名)。

key_usage_critical

别名:keyUsage_critical

布尔值

keyUsage 扩展是否应被视为关键。

选项

  • false ← (默认)

  • true

locality_name

别名:L、localityName

字符串

证书签名请求主题的 localityName 字段。

mode

任何

生成的文件系统对象应具有的权限。

对于那些习惯于使用 /usr/bin/chmod 的人来说,请记住模式实际上是八进制数。您必须向 Ansible 提供足够的信息来正确解析它们。为了获得一致的结果,请引用八进制数(例如,'644''1777'),以便 Ansible 接收字符串并可以将其从字符串转换为数字。添加前导零(例如,0755)有时有效,但在循环和其他某些情况下可能会失败。

在不遵循这些规则的情况下向 Ansible 提供数字将最终得到一个十进制数,这将产生意想不到的结果。

从 Ansible 1.8 开始,模式可以指定为符号模式(例如,u+rwxu=rw,g=r,o=r)。

如果未指定 mode 并且目标文件系统对象不存在,则在设置新创建的文件系统对象的模式时,将使用系统上的默认 umask

如果未指定 mode 并且目标文件系统对象存在,则将使用现有文件系统对象的模式。

指定 mode 是确保使用正确的权限创建文件系统对象的最佳方法。有关更多详细信息,请参见 CVE-2020-1736。

name_constraints_critical

布尔值

在 community.crypto 1.1.0 中添加

是否应将名称约束扩展视为关键。

选项

  • false ← (默认)

  • true

name_constraints_excluded

列表 / 元素=字符串

在 community.crypto 1.1.0 中添加

对于 CA 证书,这指定一个标识符列表,这些标识符描述了此 CA 不允许颁发证书的名称子树。

值必须以其选项为前缀。(即,emailURIDNSRIDIPdirNameotherName 以及特定于您的 CA 的选项)。

name_constraints_permitted

列表 / 元素=字符串

在 community.crypto 1.1.0 中添加

对于 CA 证书,这指定一个标识符列表,这些标识符描述了此 CA 允许颁发证书的名称子树。

值必须以其选项为前缀。(即,emailURIDNSRIDIPdirNameotherName 以及特定于您的 CA 的选项)。

ocsp_must_staple

别名:ocspMustStaple

布尔值

指示证书应包含 OCSP Must Staple 扩展 (https://tools.ietf.org/html/rfc7633)。

选项

  • false ← (默认)

  • true

ocsp_must_staple_critical

别名:ocspMustStaple_critical

布尔值

OCSP Must Staple 扩展是否应被视为关键。

请注意,根据 RFC,此扩展不应标记为关键,因为不了解 OCSP Must Staple 的旧客户端需要拒绝此类证书(请参见 https://tools.ietf.org/html/rfc7633#section-4)。

选项

  • false ← (默认)

  • true

organization_name

别名:O、organizationName

字符串

证书签名请求主题的 organizationName 字段。

organizational_unit_name

别名:OU、organizationalUnitName

字符串

证书签名请求主题的 organizationalUnitName 字段。

owner

字符串

应该拥有文件系统对象的所有者的用户名,与提供给 chown 的名称相同。

如果未指定,则使用当前用户,除非您是 root 用户,在这种情况下,它可以保留以前的所有权。

指定数字用户名将被假定为用户 ID 而不是用户名。请避免使用数字用户名以避免这种混淆。

path

路径 / 必需

将写入生成的 OpenSSL 证书签名请求的文件名。

privatekey_content

字符串

在 community.crypto 1.0.0 中添加

签署证书签名请求时要使用的私钥的内容。

如果 statepresent,则必须指定 privatekey_pathprivatekey_content 中的一个,但不能同时指定两者。

privatekey_passphrase

字符串

私钥的密码短语。

如果私钥受密码保护,则这是必需的。

privatekey_path

path

签署证书签名请求时要使用的私钥的路径。

如果 statepresent,则必须指定 privatekey_pathprivatekey_content 中的一个,但不能同时指定两者。

return_content

布尔值

在 community.crypto 1.0.0 中添加

如果设置为 true,则会将(当前或生成的)CSR 的内容作为 csr 返回。

选项

  • false ← (默认)

  • true

select_crypto_backend

字符串

确定要使用的加密后端。

默认选项是 auto,它会尝试使用 cryptography 库(如果可用)。

如果设置为 cryptography,将尝试使用 cryptography 库。

选项

  • "auto" ← (默认)

  • "cryptography"

selevel

字符串

SELinux 文件系统对象上下文的级别部分。

这是 MLS/MCS 属性,有时也称为 range

当设置为 _default 时,如果策略中可用,它将使用策略的 level 部分。

serole

字符串

SELinux 文件系统对象上下文的角色部分。

当设置为 _default 时,如果策略中可用,它将使用策略的 role 部分。

setype

字符串

SELinux 文件系统对象上下文的类型部分。

当设置为 _default 时,如果策略中可用,它将使用策略的 type 部分。

seuser

字符串

SELinux 文件系统对象上下文的用户部分。

默认情况下,它会使用 system 策略(如果适用)。

当设置为 _default 时,如果策略中可用,它将使用策略的 user 部分。

state

字符串

证书签名请求是否应该存在,如果状态与声明的不同,则采取行动。

选项

  • "absent"

  • "present" ← (默认)

state_or_province_name

别名: ST, stateOrProvinceName

字符串

证书签名请求主题的 stateOrProvinceName 字段。

subject

字典

将出现在证书签名请求的主题名称字段中的键/值对。

如果需要使用相同的键指定多个值,请使用列表作为值。

如果组件的顺序很重要,请使用 subject_ordered

subject_ordered 互斥。

subject_alt_name

别名: subjectAltName

列表 / 元素=字符串

要附加到证书签名请求的主题备用名称 (SAN) 扩展。

值必须以其选项为前缀。(这些是 emailURIDNSRIDIPdirNameotherName 以及特定于你的 CA 的选项)。

请注意,如果没有指定 SAN,但是指定了通用名称,则通用名称将作为 SAN 添加,除非 use_common_name_for_san 设置为 false

更多信息请参考 https://tools.ietf.org/html/rfc5280#section-4.2.1.6

subject_alt_name_critical

别名: subjectAltName_critical

布尔值

是否应将 subjectAltName 扩展视为关键。

选项

  • false ← (默认)

  • true

subject_key_identifier

字符串

作为十六进制字符串的主题密钥标识符,其中两个字节用冒号分隔。

示例:00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff:00:11:22:33

请注意,商业 CA 会忽略此值,分别使用他们自己选择的值。 指定此选项主要对自签名证书或自己的 CA 有用。

请注意,仅当 create_subject_key_identifierfalse 时,才能使用此选项。

请注意,仅当使用 cryptography 后端时才支持此功能!

subject_ordered

列表 / 元素=字典

在 community.crypto 2.0.0 中添加

字典列表,其中每个字典必须包含一个键/值对。此键/值对将出现在证书签名请求的主题名称字段中。

如果要在同一行中使用相同的键指定多个值,则可以使用列表作为值。

subject 和任何其他主题字段选项互斥,例如 country_namestate_or_province_namelocality_nameorganization_nameorganizational_unit_namecommon_nameemail_address

unsafe_writes

布尔值

影响何时使用原子操作来防止数据损坏或从目标文件系统对象读取不一致的数据。

默认情况下,此模块使用原子操作来防止数据损坏或从目标文件系统对象读取不一致的数据,但有时系统的配置或损坏的方式会阻止这种情况发生。一个例子是 docker 挂载的文件系统对象,这些对象无法从容器内部以原子方式更新,只能以不安全的方式写入。

当原子操作失败时,此选项允许 Ansible 回退到更新文件系统对象的不安全方法(但是,它不会强制 Ansible 执行不安全的写入)。

重要提示!不安全的写入会受到竞争条件的影响,并可能导致数据损坏。

选项

  • false ← (默认)

  • true

use_common_name_for_san

别名: useCommonNameForSAN

布尔值

如果设置为 true,则如果没有指定 SAN,则该模块将使用 DNS: 前缀填充 subject_alt_name 中的通用名称。

选项

  • false

  • true ← (默认)

version

整数

证书签名请求的版本。

根据 RFC 2986,唯一允许的值为 1。

自 community.crypto 2.0.0 起,此选项不再接受不支持的值。

选项

  • 1 ← (默认)

属性

属性

支持

描述

check_mode

支持: 完全

可以在 check_mode 中运行,并在不修改目标的情况下返回已更改的状态预测。

diff_mode

支持: 完全

在差异模式下运行时,将返回已更改的内容的详细信息(或可能需要在 check_mode 中更改的内容)。

safe_file_operations

支持: 完全

使用 Ansible 的严格文件操作函数来确保正确的权限并避免数据损坏。

注释

注意

  • 如果证书签名请求已存在,则将检查 subjectAltName、keyUsage、extendedKeyUsage 和 basicConstraints 是否仅包含请求的值,OCSP Must Staple 是否按请求,以及请求是否已由给定的私钥签名。

另请参阅

另请参阅

community.crypto.openssl_csr_pipe

生成 OpenSSL 证书签名请求 (CSR)。

community.crypto.x509_certificate

生成和/或检查 OpenSSL 证书。

community.crypto.x509_certificate_pipe

生成和/或检查 OpenSSL 证书。

community.crypto.openssl_dhparam

生成 OpenSSL Diffie-Hellman 参数。

community.crypto.openssl_pkcs12

生成 OpenSSL PKCS#12 存档。

community.crypto.openssl_privatekey

生成 OpenSSL 私钥。

community.crypto.openssl_privatekey_pipe

生成 OpenSSL 私钥,无需磁盘访问。

community.crypto.openssl_publickey

从其私钥生成 OpenSSL 公钥。

community.crypto.openssl_csr_info

提供 OpenSSL 证书签名请求 (CSR) 的信息。

community.crypto.parse_serial 过滤器插件

将作为以冒号分隔的十六进制数字列表的序列号转换为整数。

示例

- name: Generate an OpenSSL Certificate Signing Request
  community.crypto.openssl_csr:
    path: /etc/ssl/csr/www.ansible.com.csr
    privatekey_path: /etc/ssl/private/ansible.com.pem
    common_name: www.ansible.com

- name: Generate an OpenSSL Certificate Signing Request with an inline key
  community.crypto.openssl_csr:
    path: /etc/ssl/csr/www.ansible.com.csr
    privatekey_content: "{{ private_key_content }}"
    common_name: www.ansible.com

- name: Generate an OpenSSL Certificate Signing Request with a passphrase protected private key
  community.crypto.openssl_csr:
    path: /etc/ssl/csr/www.ansible.com.csr
    privatekey_path: /etc/ssl/private/ansible.com.pem
    privatekey_passphrase: ansible
    common_name: www.ansible.com

- name: Generate an OpenSSL Certificate Signing Request with Subject information
  community.crypto.openssl_csr:
    path: /etc/ssl/csr/www.ansible.com.csr
    privatekey_path: /etc/ssl/private/ansible.com.pem
    country_name: FR
    organization_name: Ansible
    email_address: [email protected]
    common_name: www.ansible.com

- name: Generate an OpenSSL Certificate Signing Request with subjectAltName extension
  community.crypto.openssl_csr:
    path: /etc/ssl/csr/www.ansible.com.csr
    privatekey_path: /etc/ssl/private/ansible.com.pem
    subject_alt_name: 'DNS:www.ansible.com,DNS:m.ansible.com'

- name: Generate an OpenSSL CSR with subjectAltName extension with dynamic list
  community.crypto.openssl_csr:
    path: /etc/ssl/csr/www.ansible.com.csr
    privatekey_path: /etc/ssl/private/ansible.com.pem
    subject_alt_name: "{{ item.value | map('regex_replace', '^', 'DNS:') | list }}"
  with_dict:
    dns_server:
    - www.ansible.com
    - m.ansible.com

- name: Force regenerate an OpenSSL Certificate Signing Request
  community.crypto.openssl_csr:
    path: /etc/ssl/csr/www.ansible.com.csr
    privatekey_path: /etc/ssl/private/ansible.com.pem
    force: true
    common_name: www.ansible.com

- name: Generate an OpenSSL Certificate Signing Request with special key usages
  community.crypto.openssl_csr:
    path: /etc/ssl/csr/www.ansible.com.csr
    privatekey_path: /etc/ssl/private/ansible.com.pem
    common_name: www.ansible.com
    key_usage:
      - digitalSignature
      - keyAgreement
    extended_key_usage:
      - clientAuth

- name: Generate an OpenSSL Certificate Signing Request with OCSP Must Staple
  community.crypto.openssl_csr:
    path: /etc/ssl/csr/www.ansible.com.csr
    privatekey_path: /etc/ssl/private/ansible.com.pem
    common_name: www.ansible.com
    ocsp_must_staple: true

- name: Generate an OpenSSL Certificate Signing Request for WinRM Certificate authentication
  community.crypto.openssl_csr:
    path: /etc/ssl/csr/winrm.auth.csr
    privatekey_path: /etc/ssl/private/winrm.auth.pem
    common_name: username
    extended_key_usage:
    - clientAuth
    subject_alt_name: otherName:1.3.6.1.4.1.311.20.2.3;UTF8:username@localhost

- name: Generate an OpenSSL Certificate Signing Request with a CRL distribution point
  community.crypto.openssl_csr:
    path: /etc/ssl/csr/www.ansible.com.csr
    privatekey_path: /etc/ssl/private/ansible.com.pem
    common_name: www.ansible.com
    crl_distribution_points:
      - full_name:
          - "URI:https://ca.example.com/revocations.crl"
        crl_issuer:
          - "URI:https://ca.example.com/"
        reasons:
          - key_compromise
          - ca_compromise
          - cessation_of_operation

返回值

常用返回值记录在这里,以下是此模块独有的字段

描述

backup_file

字符串

创建的备份文件的名称。

返回: 如果 backuptrue,则返回 changed。

示例: "/path/to/www.ansible.com.csr.2019-03-09@11:22~"

basicConstraints

列表 / 元素=字符串

指示证书是否属于 CA。

返回: changed 或 success。

示例: ["CA:TRUE", "pathLenConstraint:0"]

csr

字符串

在 community.crypto 1.0.0 中添加

(当前或生成的)CSR 的内容。

返回: 如果 statepresentreturn_contenttrue,则返回。

extendedKeyUsage

列表 / 元素=字符串

对公钥用途的额外限制。

返回: changed 或 success。

示例: ["clientAuth"]

filename

字符串

生成的证书签名请求的路径。

返回: changed 或 success。

示例: "/etc/ssl/csr/www.ansible.com.csr"

keyUsage

列表 / 元素=字符串

公钥可以使用的目的。

返回: changed 或 success。

示例: ["digitalSignature", "keyAgreement"]

name_constraints_excluded

列表 / 元素=字符串

在 community.crypto 1.1.0 中添加

CA 不能为其签署证书的排除子树列表。

返回: changed 或 success。

示例: ["email:.com"]

name_constraints_permitted

列表 / 元素=字符串

在 community.crypto 1.1.0 中添加

允许为其签署证书的子树列表。

返回: changed 或 success。

示例: ["email:.somedomain.com"]

ocsp_must_staple

布尔值

指示证书是否启用了 OCSP Must Staple 功能。

返回: changed 或 success。

示例: false

privatekey

字符串

生成 CSR 的 TLS/SSL 私钥的路径。

如果私钥已在 privatekey_content 中提供,则将为 none

返回: changed 或 success。

示例: "/etc/ssl/private/ansible.com.pem"

subject

列表 / 元素=列表

附加到 CSR 的主题元组列表。

返回: changed 或 success。

示例: [["CN", "www.ansible.com"], ["O", "Ansible"]]

subjectAltName

列表 / 元素=字符串

此 CSR 有效的备用名称。

返回: changed 或 success。

示例: ["DNS:www.ansible.com", "DNS:m.ansible.com"]

作者

  • Yanis Guenane (@Spredzy)

  • Felix Fontein (@felixfontein)