78.3. certificate システムロールを使用した IdM CA からの新しい証明書の要求
certificate システムロールを使用すると、統合認証局 (CA) を持つ IdM サーバーを使用しながら、ansible-core を使用して証明書を発行できます。したがって、IdM を CA として使用する場合に、複数のシステムの証明書トラストチェーンを効率的かつ一貫して管理できます。
このプロセスは、certmonger プロバイダーを使用し、getcert コマンドで証明書を要求します。
前提条件
- 制御ノードと管理ノードを準備している
- 管理対象ノードで Playbook を実行できるユーザーとしてコントロールノードにログインしている。
-
管理対象ノードへの接続に使用するアカウントに、そのノードに対する
sudo権限がある。
手順
次の内容を含む Playbook ファイル (例:
~/playbook.yml) を作成します。--- - hosts: managed-node-01.example.com roles: - rhel-system-roles.certificate vars: certificate_requests: - name: mycert dns: www.example.com principal: HTTP/www.example.com@EXAMPLE.COM ca: ipa-
nameパラメーターを希望する証明書の名前 (mycertなど) に設定します。 -
dnsパラメーターをドメインに設定し、証明書に追加します (例:www.example.com)。 -
principalパラメーターを設定し、Kerberos プリンシパルを指定します (例:HTTP/www.example.com@EXAMPLE.COM)。 -
caパラメーターをipaに設定します。
デフォルトでは、
certmongerは有効期限が切れる前に証明書の更新を自動的に試行します。これは、Ansible Playbook のauto_renewパラメーターをnoに設定すると無効にできます。-
Playbook の構文を検証します。
$ ansible-playbook --syntax-check ~/playbook.ymlこのコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。
Playbook を実行します。
$ ansible-playbook ~/playbook.yml
関連情報
-
/usr/share/ansible/roles/rhel-system-roles.certificate/README.mdファイル -
/usr/share/doc/rhel-system-roles/certificate/ディレクトリー
