community.crypto.x509_certificate_convert 模块 – 转换 X.509 证书

注意

此模块是 community.crypto 集合 (版本 2.22.3) 的一部分。

如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用: ansible-galaxy collection install community.crypto

要在 playbook 中使用它,请指定: community.crypto.x509_certificate_convert

community.crypto 2.19.0 中的新增功能

概要

  • 此模块允许在不同格式之间转换 X.509 证书。

参数

参数

注释

attributes

别名:attr

字符串

生成的 filesystem 对象应具有的属性。

要获取支持的标志,请查看目标系统上 *chattr* 的手册页。

此字符串应按 *lsattr* 显示的顺序包含属性。

默认情况下假定使用 = 运算符,否则需要在字符串中包含 +- 运算符。

backup

布尔值

创建一个包含时间戳的备份文件,以便您可以意外地用新证书覆盖原始 X.509 证书后将其取回。

选项

  • false ← (默认)

  • true

dest_path

路径 / 必需

将生成的 TLS/SSL X.509 证书写入的文件名。

format

字符串 / 必需

确定应将目标 X.509 证书写入哪个格式。

请注意,并非所有密钥都可以导出到任何格式,并且并非所有格式都支持加密。

选项

  • "pem"

  • "der"

group

字符串

应拥有 filesystem 对象的组的名称,如同提供给 *chown* 一样。

如果未指定,则除非您是 root 用户,否则它将使用当前用户的当前组,在这种情况下,它可以保留之前的拥有权。

mode

任意

生成的 filesystem 对象应具有的权限。

对于习惯使用 * /usr/bin/chmod* 的用户,请记住模式实际上是八进制数。您必须向 Ansible 提供足够的信息才能正确解析它们。为了获得一致的结果,请引用八进制数(例如,'644''1777'),以便 Ansible 接收到字符串并可以自行将字符串转换为数字。添加前导零(例如,0755)有时有效,但在循环和其他一些情况下可能会失败。

如果不遵循这些规则中的任何一个,则向 Ansible 提供数字将最终得到一个十进制数,这将导致意外的结果。

从 Ansible 1.8 开始,模式可以指定为符号模式(例如,u+rwxu=rw,g=r,o=r)。

如果未指定 mode 并且目标 filesystem 对象不存在,则在设置新创建的 filesystem 对象的模式时,将使用系统上的默认 umask

如果未指定 mode 并且目标 filesystem 对象存在,则将使用现有 filesystem 对象的模式。

指定 mode 是确保以正确的权限创建 filesystem 对象的最佳方法。有关更多详细信息,请参阅 CVE-2020-1736。

owner

字符串

应拥有 filesystem 对象的用户的名称,如同提供给 *chown* 一样。

如果未指定,则除非您是 root 用户,否则它将使用当前用户,在这种情况下,它可以保留之前的拥有权。

指定数字用户名将被认为是用户 ID 而不是用户名。避免使用数字用户名以避免此混淆。

selevel

字符串

SELinux 文件系统对象上下文的级别部分。

这是 MLS/MCS 属性,有时称为 range

如果设置为 _default,则如果可用,它将使用策略的 level 部分。

serole

字符串

SELinux 文件系统对象上下文的角色部分。

如果设置为 _default,则如果可用,它将使用策略的 role 部分。

setype

字符串

SELinux 文件系统对象上下文的类型部分。

设置为 _default 时,如果可用,它将使用策略的 type 部分。

seuser

字符串

SELinux 文件系统对象上下文的用户部分。

默认情况下,它使用 system 策略(如果适用)。

设置为 _default 时,如果可用,它将使用策略的 user 部分。

src_content

字符串

包含要转换的 X.509 证书的文件的内容。

这必须是文本。如果您不确定输入文件是否为 PEM,则必须对值进行 Base64 编码并设置 src_content_base64=true。您可以使用 ansible.builtin.b64encode 过滤器插件来实现此目的。

必须指定 src_pathsrc_content 中的一个。

src_content_base64

布尔值

如果在提供 src_content 时设置为 true,则模块假定 src_content 的值为 Base64 编码。

选项

  • false ← (默认)

  • true

src_path

path

包含要转换的 X.509 证书的文件名。

必须指定 src_pathsrc_content 中的一个。

strict

布尔值

如果输入是 PEM 文件,请确保它只包含一个 PEM 对象,标题和页脚匹配,并且类型为 CERTIFICATEX509 CERTIFICATE

选项

  • false ← (默认)

  • true

unsafe_writes

布尔值

影响何时使用原子操作来防止目标文件系统对象的数据损坏或不一致读取。

默认情况下,此模块使用原子操作来防止目标文件系统对象的数据损坏或不一致读取,但有时系统配置存在问题或损坏,从而阻止此操作。一个例子是 docker 挂载的文件系统对象,这些对象无法在容器内以原子方式更新,只能以不安全的方式写入。

此选项允许 Ansible 在原子操作失败时回退到不安全的文件系统对象更新方法(但是,它不会强制 Ansible 执行不安全写入)。

重要!不安全写入容易出现竞争条件,并可能导致数据损坏。

选项

  • false ← (默认)

  • true

属性

属性

支持

描述

check_mode

支持:完全支持

可以在 check_mode 下运行,并在不修改目标的情况下返回更改状态预测。

diff_mode

支持:不支持

在差异模式下,将返回有关已更改内容(或可能需要在 check_mode 中更改的内容)的详细信息。

safe_file_operations

支持:完全支持

使用 Ansible 的严格文件操作函数来确保正确的权限并避免数据损坏。

另请参见

另请参见

ansible.builtin.b64encode 过滤器插件

将字符串编码为 Base64。

community.crypto.x509_certificate

生成和/或检查 OpenSSL 证书。

community.crypto.x509_certificate_pipe

生成和/或检查 OpenSSL 证书。

community.crypto.x509_certificate_info

提供 OpenSSL X.509 证书的信息。

示例

- name: Convert PEM X.509 certificate to DER format
  community.crypto.x509_certificate_convert:
    src_path: /etc/ssl/cert/ansible.com.pem
    dest_path: /etc/ssl/cert/ansible.com.der
    format: der

返回值

常见的返回值已在此处记录,以下是此模块特有的字段

描述

backup_file

字符串

创建的备份文件名。

返回:changed 以及如果 backuptrue

示例:"/path/to/cert.pem.2019-03-09@11:22~"

作者

  • Felix Fontein (@felixfontein)