fortinet.fortios.fortios_vpn_certificate_setting 模块 – Fortinet FortiOS 和 FortiGate 中的 VPN 证书设置。

注意

此模块是 fortinet.fortios 集合(版本 2.3.8)的一部分。

如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install fortinet.fortios。您需要更多要求才能使用此模块,请参阅 要求了解详细信息。

要在 playbook 中使用它,请指定:fortinet.fortios.fortios_vpn_certificate_setting

fortinet.fortios 2.0.0 中的新增功能

概要

  • 此模块能够通过允许用户设置和修改 vpn_certificate 功能和设置类别来配置 FortiGate 或 FortiOS (FOS) 设备。 示例包括所有参数和值,需要在使用前调整为数据源。 使用 FOS v6.0.0 测试。

要求

执行此模块的主机需要满足以下要求。

  • ansible>=2.15

参数

参数

注释

access_token

字符串

基于令牌的身份验证。 从 FortiGate 的 GUI 生成。

enable_log

布尔值

启用/禁用任务的日志记录。

选择

  • false ←(默认)

  • true

member_path

字符串

要操作的成员属性路径。

如果存在多个属性,则以斜杠字符分隔。

标记为 member_path 的参数对于执行成员操作是合法的。

member_state

字符串

在指定的属性路径下添加或删除成员。

指定 member_state 时,将忽略 state 选项。

选择

  • "present"

  • "absent"

vdom

字符串

虚拟域,在先前定义的那些域中。 vdom 是 FortiGate 的虚拟实例,可以配置并用作不同的单元。

默认值: "root"

vpn_certificate_setting

字典

VPN 证书设置。

cert_expire_warning

整数

证书过期前发送警告的天数。 设置为 0 以禁用发送警告 (0 - 100)。

certname_dsa1024

字符串

用于重新签署 SSL 检测服务器证书的 1024 位 DSA 密钥证书。 源 vpn.certificate.local.name。

certname_dsa2048

字符串

用于重新签署 SSL 检测服务器证书的 2048 位 DSA 密钥证书。 源 vpn.certificate.local.name。

certname_ecdsa256

字符串

用于重新签署 SSL 检测服务器证书的 256 位 ECDSA 密钥证书。 源 vpn.certificate.local.name。

certname_ecdsa384

字符串

用于重新签署 SSL 检测服务器证书的 384 位 ECDSA 密钥证书。 源 vpn.certificate.local.name。

certname_ecdsa521

字符串

用于重新签署 SSL 检测服务器证书的 521 位 ECDSA 密钥证书。 源 vpn.certificate.local.name。

certname_ed25519

字符串

用于重新签署 SSL 检测服务器证书的 253 位 EdDSA 密钥证书。 源 vpn.certificate.local.name。

certname_ed448

字符串

用于重新签署 SSL 检测服务器证书的 456 位 EdDSA 密钥证书。 源 vpn.certificate.local.name。

certname_rsa1024

字符串

用于重新签署 SSL 检测服务器证书的 1024 位 RSA 密钥证书。 源 vpn.certificate.local.name。

certname_rsa2048

字符串

用于重新签署 SSL 检测服务器证书的 2048 位 RSA 密钥证书。 源 vpn.certificate.local.name。

certname_rsa4096

字符串

用于重新签署 SSL 检测服务器证书的 4096 位 RSA 密钥证书。 源 vpn.certificate.local.name。

check_ca_cert

字符串

启用/禁用用户证书的验证,如果链中的任何 CA 可信,则通过身份验证。

选择

  • "enable"

  • "disable"

check_ca_chain

字符串

启用/禁用整个证书链的验证,只有当链完整且链中的所有 CA 都可信时才通过身份验证。

选择

  • "enable"

  • "disable"

cmp_key_usage_checking

字符串

启用/禁用 CMP 模式下的服务器证书密钥使用情况检查。

选择

  • "enable"

  • "disable"

cmp_save_extra_certs

字符串

启用/禁用 CMP 模式下保存额外的证书。

选择

  • "enable"

  • "disable"

cn_allow_multi

字符串

当搜索匹配的证书时,允许证书使用者名称中存在多个 CN 字段。

选择

  • "disable"

  • "enable"

cn_match

字符串

当搜索匹配的证书时,控制如何使用证书使用者名称执行 CN 值匹配。

选择

  • "substring"

  • "value"

crl_verification

字典

CRL 验证选项。

chain_crl_absence

字符串

当链中任何证书的 CRL 缺失时的 CRL 验证选项。

选择

  • "ignore"

  • "revoke"

expiry

字符串

当 CRL 过期时的 CRL 验证选项。

选择

  • "ignore"

  • "revoke"

leaf_crl_absence

字符串

当叶 CRL 缺失时的 CRL 验证选项。

选择

  • "ignore"

  • "revoke"

interface

字符串

指定用于到达服务器的传出接口。 源 system.interface.name。

interface_select_method

字符串

指定如何选择用于到达服务器的传出接口。

选择

  • "auto"

  • "sdwan"

  • "specify"

ocsp_default_server

字符串

默认 OCSP 服务器。 源 vpn.certificate.ocsp-server.name。

ocsp_option

字符串

指定 OCSP URL 是来自证书还是已配置的 OCSP 服务器。

选择

  • "certificate"

  • "server"

ocsp_status

字符串

启用/禁用使用 OCSP 接收证书。

选择

  • "enable"

  • "mandatory"

  • "disable"

proxy

字符串

证书验证期间用于 OCSP/CA 查询的代理服务器 FQDN 或 IP。

proxy_password

字符串

代理服务器密码。

proxy_port

整数

代理服务器端口 (1 - 65535)。

proxy_username

字符串

代理服务器用户名。

source_ip

字符串

用于动态 AIA 和 OCSP 查询的源 IP 地址。

ssl_min_proto_version

字符串

SSL/TLS 连接支持的最低协议版本。

选择

  • "default"

  • "SSLv3"

  • "TLSv1"

  • "TLSv1-1"

  • "TLSv1-2"

  • "TLSv1-3"

ssl_ocsp_option

字符串

指定 OCSP URL 是来自证书还是默认 OCSP 服务器。

选择

  • "certificate"

  • "server"

ssl_ocsp_source_ip

字符串

用于与 OCSP 服务器通信的源 IP 地址。

ssl_ocsp_status

字符串

启用/禁用 SSL OCSP。

选择

  • "enable"

  • "disable"

strict_crl_check

字符串

启用/禁用严格模式 CRL 检查。

选择

  • "enable"

  • "disable"

strict_ocsp_check

字符串

启用/禁用严格模式 OCSP 检查。

选择

  • "enable"

  • "disable"

subject_match

字符串

当搜索匹配的证书时,控制如何使用证书主题名称进行 RDN 值匹配。

选择

  • "substring"

  • "value"

subject_set

字符串

当搜索匹配的证书时,控制如何使用证书主题名称进行 RDN 集合匹配。

选择

  • "subset"

  • "superset"

注释

注意

  • 传统的 fortiosapi 已被弃用,httpapi 是运行 playbook 的首选方式

示例

- name: VPN certificate setting.
  fortinet.fortios.fortios_vpn_certificate_setting:
      vdom: "{{ vdom }}"
      vpn_certificate_setting:
          cert_expire_warning: "14"
          certname_dsa1024: "<your_own_value> (source vpn.certificate.local.name)"
          certname_dsa2048: "<your_own_value> (source vpn.certificate.local.name)"
          certname_ecdsa256: "<your_own_value> (source vpn.certificate.local.name)"
          certname_ecdsa384: "<your_own_value> (source vpn.certificate.local.name)"
          certname_ecdsa521: "<your_own_value> (source vpn.certificate.local.name)"
          certname_ed25519: "<your_own_value> (source vpn.certificate.local.name)"
          certname_ed448: "<your_own_value> (source vpn.certificate.local.name)"
          certname_rsa1024: "<your_own_value> (source vpn.certificate.local.name)"
          certname_rsa2048: "<your_own_value> (source vpn.certificate.local.name)"
          certname_rsa4096: "<your_own_value> (source vpn.certificate.local.name)"
          check_ca_cert: "enable"
          check_ca_chain: "enable"
          cmp_key_usage_checking: "enable"
          cmp_save_extra_certs: "enable"
          cn_allow_multi: "disable"
          cn_match: "substring"
          crl_verification:
              chain_crl_absence: "ignore"
              expiry: "ignore"
              leaf_crl_absence: "ignore"
          interface: "<your_own_value> (source system.interface.name)"
          interface_select_method: "auto"
          ocsp_default_server: "<your_own_value> (source vpn.certificate.ocsp-server.name)"
          ocsp_option: "certificate"
          ocsp_status: "enable"
          proxy: "<your_own_value>"
          proxy_password: "<your_own_value>"
          proxy_port: "8080"
          proxy_username: "<your_own_value>"
          source_ip: "84.230.14.43"
          ssl_min_proto_version: "default"
          ssl_ocsp_option: "certificate"
          ssl_ocsp_source_ip: "<your_own_value>"
          ssl_ocsp_status: "enable"
          strict_crl_check: "enable"
          strict_ocsp_check: "enable"
          subject_match: "substring"
          subject_set: "subset"

返回值

常见的返回值记录在这里,以下是此模块独有的字段

描述

build

字符串

FortiGate 镜像的构建号

返回: 总是

示例: "1547"

http_method

字符串

上次用于将内容配置到 FortiGate 的方法

返回: 总是

示例: "PUT"

http_status

字符串

上次应用的操作在 FortiGate 上给出的最后结果

返回: 总是

示例: "200"

mkey

字符串

上次调用 FortiGate 时使用的主键 (id)

返回: 成功

示例: "id"

name

字符串

用于满足请求的表的名称

返回: 总是

示例: "urlfilter"

path

字符串

用于满足请求的表的路径

返回: 总是

示例: "webfilter"

revision

字符串

内部修订号

返回: 总是

示例: "17.0.2.10658"

serial

字符串

设备的序列号

返回: 总是

示例: "FGVMEVYYQT3AB5352"

status

字符串

操作结果的指示

返回: 总是

示例: "success"

vdom

字符串

使用的虚拟域

返回: 总是

示例: "root"

version

字符串

FortiGate 的版本

返回: 总是

示例: "v5.6.3"

作者

  • Link Zheng (@chillancezen)

  • Jie Xue (@JieX19)

  • Hongbin Lu (@fgtdev-hblu)

  • Frank Shen (@frankshen01)

  • Miguel Angel Munoz (@mamunozgonzalez)

  • Nicolas Thomas (@thomnico)