f5networks.f5_modules.bigip_profile_server_ssl 模块 – 管理 BIG-IP 上的服务器 SSL 配置文件

注意

此模块是 f5networks.f5_modules 集合 (版本 1.32.1) 的一部分。

如果您正在使用 ansible 包,则可能已经安装了此集合。 它不包含在 ansible-core 中。 要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install f5networks.f5_modules

要在 playbook 中使用它,请指定:f5networks.f5_modules.bigip_profile_server_ssl

f5networks.f5_modules 1.0.0 中的新增功能

概要

  • 管理 BIG-IP 系统上的服务器 SSL 配置文件。

参数

参数

注释

authenticate_name

字符串

指定嵌入在服务器证书中的公用名 (CN)。系统根据指定的 CN 对服务器进行身份验证。

ca_file

字符串

指定系统信任的服务器 CA。默认为 (None)。

certificate

字符串

指定系统用于服务器端 SSL 处理的证书名称。

chain

字符串

指定要与 SSL 配置文件关联的证书密钥链。

cipher_group

字符串

在 f5networks.f5_modules 1.12.0 中添加

指定要分配给此配置文件的密码组。

当使用 ciphers 参数时,cipher_group 必须设置为 none''

当使用 cipher_group 创建新配置文件时,如果父配置文件默认设置了 ciphers,则在创建期间必须将 cipher 参数设置为 none''

此参数仅适用于 TMOS 版本 13.x 及更高版本。

ciphers

字符串

指定系统支持的密码列表。创建新配置文件时,默认密码列表由父配置文件提供。

当使用 cipher_group 参数时,需要将 ciphers 参数设置为 none''

key

字符串

指定 SSL 密钥的文件名。

name

字符串 / 必需

指定配置文件的名称。

ocsp_profile

字符串

指定 OCSP 配置文件的名称,用于验证服务器证书的状态。

options

列表 / 元素=字符串

系统用于 SSL 处理的选项列表形式。 创建新配置文件时,列表由父配置文件提供。

当为 ''none 时,所有 SSL 处理选项都将被禁用。

选项

  • "dont-insert-empty-fragments"

  • "no-ssl"

  • "no-dtls"

  • "no-session-resumption-on-renegotiation"

  • "no-tlsv1.1"

  • "no-tlsv1.2"

  • "no-tlsv1.3"

  • "single-dh-use"

  • "tls-rollback-bug"

  • "no-sslv3"

  • "no-tls"

  • "no-tlsv1"

  • "none"

parent

字符串

此监视器模板的父模板。一旦设置此值,则无法更改。

默认值: "/Common/serverssl"

partition

字符串

用于管理资源的设备分区。

默认值: "Common"

passphrase

字符串

指定用于加密密钥的密码。

provider

字典

在 f5networks.f5_modules 1.0.0 中添加

包含连接详细信息的字典对象。

auth_provider

字符串

配置身份验证提供程序以从远程设备获取身份验证令牌。

此选项在处理 BIG-IQ 设备时特别有用。

no_f5_teem

布尔值

如果为 yes,则不会将 TEEM 遥测数据发送到 F5。

您可以通过设置环境变量 F5_TELEMETRY_OFF 来忽略此选项。

先前使用的变量 F5_TEEM 已弃用,因为它名称容易造成混淆。

选项

  • false ← (默认)

  • true

password

别名: pass, pwd

字符串 / 必需

用于连接到 BIG-IP 或 BIG-IQ 的用户帐户的密码。

您可以通过设置环境变量 F5_PASSWORD 来忽略此选项。

server

字符串 / 必需

BIG-IP 主机或 BIG-IQ 主机。

您可以通过设置环境变量 F5_SERVER 来忽略此选项。

server_port

整数

BIG-IP 服务器端口。

您可以通过设置环境变量 F5_SERVER_PORT 来忽略此选项。

默认值: 443

timeout

整数

指定与网络设备通信(用于连接或发送命令)的超时时间(以秒为单位)。如果在操作完成之前超时,则模块将出错。

transport

字符串

配置连接到远程设备时要使用的传输连接。

选项

  • "rest" ← (默认)

user

字符串 / 必需

连接到 BIG-IP 或 BIG-IQ 的用户名。此用户必须在设备上具有管理权限。

您可以通过设置环境变量 F5_USER 来省略此选项。

validate_certs

布尔值

如果为 no,则不验证 SSL 证书。仅在个人控制的使用自签名证书的站点上使用此选项。

您可以通过设置环境变量 F5_VALIDATE_CERTS 来省略此选项。

选项

  • false

  • true ← (默认)

renegotiation

布尔值

启用或禁用 SSL 重新协商。

创建新配置文件时,此设置由父配置文件提供。

选项

  • false

  • true

secure_renegotiation

字符串

指定 SSL 连接的安全重新协商方法。创建新配置文件时,此设置由父配置文件提供。

当设置为 request 时,系统会请求对 SSL 连接进行安全重新协商。

require 是默认设置,当设置此选项时,系统允许来自客户端的初始 SSL 握手,但会终止来自未打补丁客户端的重新协商。

使用 require-strict 设置,系统要求对 SSL 连接进行严格的重新协商。在此模式下,系统会拒绝与不安全服务器的连接,并终止与不安全服务器的现有 SSL 连接。

选项

  • "require"

  • "require-strict"

  • "request"

server_certificate

字符串

指定系统处理服务器证书的方式。

当设置为 ignore 时,指定系统忽略来自服务器系统的证书。

当设置为 require 时,指定系统要求服务器出示有效证书。

选项

  • "ignore"

  • "require"

server_name

字符串

指定在服务器名称指示通信中使用的服务器的完全限定 DNS 主机名。创建新配置文件时,此设置由父配置文件提供。

sni_default

布尔值

指示在没有与服务器名称匹配或客户端未提供 SNI 扩展支持时,系统将此配置文件用作默认 SSL 配置文件。

创建新配置文件时,此设置由父配置文件提供。

只能有一个启用此设置的 SSL 配置文件。

选项

  • false

  • true

sni_require

布尔值

要求网络对等方也提供 SNI 支持。仅当 sni_defaulttrue 时,此设置才生效。

创建新配置文件时,此设置由父配置文件提供。

选项

  • false

  • true

state

字符串

当设置为 present 时,确保配置文件存在。

当设置为 absent 时,确保删除配置文件。

选项

  • "present" ← (默认)

  • "absent"

update_password

字符串

always 允许用户在选择的情况下更新密码。on_create 仅为新创建的配置文件设置密码。

选项

  • "always" ← (默认)

  • "on_create"

注释

注意

  • 有关使用 Ansible 管理 F5 Networks 设备的更多信息,请参阅 https://ansible.org.cn/integrations/networks/f5

  • 需要 BIG-IP 软件版本 >= 12。

  • F5 模块仅操作 F5 产品的运行配置。为确保 BIG-IP 的特定配置持久保存到磁盘,请务必至少包含一个使用 f5networks.f5_modules.bigip_config 模块保存运行配置的任务。有关正确使用该模块保存运行配置,请参阅模块文档。

示例

- name: Create a new server SSL profile
  bigip_profile_server_ssl:
    name: foo
    provider:
      password: secret
      server: lb.mydomain.com
      user: admin
  delegate_to: localhost

- name: Create server SSL profile with specific cipher group
  bigip_profile_server_ssl:
    state: present
    name: foo_group
    ciphers: "none"
    cipher_group: "/Common/f5-secure"
    provider:
      server: lb.mydomain.com
      user: admin
      password: secret
  delegate_to: localhost

返回值

常见的返回值在此处记录 此处,以下是此模块独有的字段

描述

cipher_group

字符串

应用于配置文件的密码组。

返回: changed

示例: "/Common/f5-secure"

ciphers

字符串

应用于配置文件的密码。

返回: changed

示例: "!SSLv3:!SSLv2:ECDHE+AES-GCM+SHA256:ECDHE-RSA-AES128-CBC-SHA"

options

列表 / 元素=字符串

用于 SSL 处理的选项列表。

返回: changed

示例: ["no-ssl", "no-sslv3"]

renegotiation

布尔值

SSL 会话的重新协商。

返回: changed

示例: true

secure_renegotiation

字符串

安全 SSL 重新协商的方法。

返回: changed

示例: "request"

作者

  • Tim Rupp (@caphrim007)