community.crypto.openssl_publickey 模块 – 从私钥生成 OpenSSL 公钥。
注意
此模块是 community.crypto 集合 (版本 2.22.3) 的一部分。
如果您使用的是 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用: ansible-galaxy collection install community.crypto。您需要其他要求才能使用此模块,请参阅 要求 以了解详情。
要在 playbook 中使用它,请指定: community.crypto.openssl_publickey。
概要
此模块允许您从私钥(重新)生成公钥。
公钥以 PEM 或 OpenSSH 格式生成。私钥必须是 OpenSSL PEM 密钥。**不支持 OpenSSH 私钥**,请使用 community.crypto.openssh_keypair 模块来管理这些密钥。
该模块使用 cryptography Python 库。
要求
执行此模块的主机需要以下要求。
cryptography >= 1.2.3(较旧的版本也可能有效)
如果
format为OpenSSH,则需要 cryptography >= 1.4
参数
参数 |
注释 |
|---|---|
生成的 filesystem 对象应具有的属性。 要获取支持的标志,请查看目标系统上 chattr 的手册页。 此字符串应按 lsattr 显示的顺序包含属性。
|
|
创建一个包含时间戳的备份文件,以便您可以意外地用不同的公钥覆盖它后找回原始公钥。 选项
|
|
即使密钥已存在,是否也应重新生成密钥。 选项
|
|
公钥的格式。 选项
|
|
应该拥有 filesystem 对象的组的名称,就像传递给 chown 一样。 如果未指定,则除非您是 root 用户,否则它将使用当前用户的当前组,在这种情况下,它可以保留之前的拥有者。 |
|
生成的 filesystem 对象应具有的权限。 对于习惯使用 /usr/bin/chmod 的用户,请记住模式实际上是八进制数。您必须向 Ansible 提供足够的信息才能正确解析它们。为了获得一致的结果,请引用八进制数(例如, 如果不遵循以上任何规则,则向 Ansible 提供数字将导致十进制数,这将产生意想不到的结果。 从 Ansible 1.8 开始,模式可以指定为符号模式(例如, 如果未指定 如果未指定 指定 |
|
应拥有文件系统对象的用户名,如同传递给chown命令一样。 如果未指定,则使用当前用户,除非您是 root 用户,在这种情况下,它可以保留之前的拥有者。 指定数字用户名将被认为是用户 ID 而不是用户名。避免使用数字用户名以避免此混淆。 |
|
将生成的 TLS/SSL 公钥写入的文件名。 |
|
用于生成公钥的 TLS/SSL 私钥的内容。 必须指定 |
|
私钥的密码。 |
|
用于生成公钥的 TLS/SSL 私钥的路径。 必须指定 |
|
确定要使用的加密后端。 默认选择是 如果设置为 选项
|
|
SELinux 文件系统对象上下文中的级别部分。 这是 MLS/MCS 属性,有时称为 如果设置为 |
|
SELinux 文件系统对象上下文中的角色部分。 如果设置为 |
|
SELinux 文件系统对象上下文中的类型部分。 如果设置为 |
|
SELinux 文件系统对象上下文中的用户部分。 默认情况下,它使用 如果设置为 |
|
公钥是否应该存在,如果状态与声明的不同,则采取行动。 选项
|
|
影响何时使用原子操作来防止目标文件系统对象的数据损坏或不一致读取。 默认情况下,此模块使用原子操作来防止目标文件系统对象的数据损坏或不一致读取,但有时系统配置或损坏的方式会阻止此操作。一个例子是 docker 挂载的文件系统对象,这些对象不能从容器内部以原子方式更新,只能以非安全的方式写入。 此选项允许 Ansible 在原子操作失败时回退到非安全的文件系统对象更新方法(但是,它不会强制 Ansible 执行非安全写入)。 重要!非安全写入容易发生竞争条件,并可能导致数据损坏。 选项
|
属性
属性 |
支持 |
描述 |
|---|---|---|
支持:完全支持 |
可以在 |
|
支持:完全支持 |
在差异模式下,将返回有关已更改内容(或可能需要在 |
|
支持:完全支持 |
使用 Ansible 的严格文件操作函数来确保正确的权限并避免数据损坏。 |
另请参见
另请参见
- community.crypto.x509_certificate
生成和/或检查 OpenSSL 证书。
- community.crypto.x509_certificate_pipe
生成和/或检查 OpenSSL 证书。
- community.crypto.openssl_csr
生成 OpenSSL 证书签名请求 (CSR)。
- community.crypto.openssl_csr_pipe
生成 OpenSSL 证书签名请求 (CSR)。
- community.crypto.openssl_dhparam
生成 OpenSSL Diffie-Hellman 参数。
- community.crypto.openssl_pkcs12
生成 OpenSSL PKCS#12 存档。
- community.crypto.openssl_privatekey
生成 OpenSSL 私钥。
- community.crypto.openssl_privatekey_pipe
在不访问磁盘的情况下生成 OpenSSL 私钥。
示例
- name: Generate an OpenSSL public key in PEM format
community.crypto.openssl_publickey:
path: /etc/ssl/public/ansible.com.pem
privatekey_path: /etc/ssl/private/ansible.com.pem
- name: Generate an OpenSSL public key in PEM format from an inline key
community.crypto.openssl_publickey:
path: /etc/ssl/public/ansible.com.pem
privatekey_content: "{{ private_key_content }}"
- name: Generate an OpenSSL public key in OpenSSH v2 format
community.crypto.openssl_publickey:
path: /etc/ssl/public/ansible.com.pem
privatekey_path: /etc/ssl/private/ansible.com.pem
format: OpenSSH
- name: Generate an OpenSSL public key with a passphrase protected private key
community.crypto.openssl_publickey:
path: /etc/ssl/public/ansible.com.pem
privatekey_path: /etc/ssl/private/ansible.com.pem
privatekey_passphrase: ansible
- name: Force regenerate an OpenSSL public key if it already exists
community.crypto.openssl_publickey:
path: /etc/ssl/public/ansible.com.pem
privatekey_path: /etc/ssl/private/ansible.com.pem
force: true
- name: Remove an OpenSSL public key
community.crypto.openssl_publickey:
path: /etc/ssl/public/ansible.com.pem
state: absent
返回值
常见的返回值已在此处记录,以下是此模块特有的字段
键 |
描述 |
|---|---|
生成的 TLS/SSL 公钥文件的路径。 返回:已更改或成功 示例: |
|
公钥的指纹。将为每个可用的 hashlib.algorithms 生成指纹。 返回:已更改或成功 示例: |
|
公钥的格式(PEM、OpenSSH 等)。 返回:已更改或成功 示例: |
|
生成公钥的 TLS/SSL 私钥的路径。 如果私钥已在 返回:已更改或成功 示例: |
|
(当前或生成的)公钥的内容。 返回:如果 |