16.3. certificate システムロールを使用した IdM CA からの新しい証明書の要求
certificate
システムロールでは、統合認証局 (CA) で IdM サーバーを使用しているときに、anible-core
を使用して証明書を発行できます。したがって、IdM を CA として使用する場合に、複数のシステムの証明書トラストチェーンを効率的かつ一貫して管理できます。
このプロセスは、certmonger
プロバイダーを使用し、getcert
コマンドで証明書を要求します。
デフォルトでは、certmonger
は有効期限が切れる前に証明書の更新を自動的に試行します。これは、Ansible Playbook の auto_renew
パラメーターを no
に設定すると無効にできます。
前提条件
- Ansible Core パッケージがコントロールマシンにインストールされている。
-
Playbook を実行するシステムに
rhel-system-roles
パッケージがインストールされている。
手順
オプション:
inventory.file
などのインベントリーファイルを作成します。$ *touch inventory.file*
インベントリーファイルを開き、証明書を要求するホストを定義します。以下に例を示します。
[webserver] server.idm.example.com
Playbook ファイルを作成します (例:
request-certificate.yml
)。-
webserver
など、証明書を要求するホストを含むようにhosts
を設定します。 certificate_requests
変数を設定して以下を追加します。-
name
パラメーターを希望する証明書の名前 (mycert
など) に設定します。 -
dns
パラメーターをドメインに設定し、証明書に追加します (例:www.example.com
)。 -
principal
パラメーターを設定し、Kerberos プリンシパルを指定します (例:HTTP/www.example.com@EXAMPLE.COM
)。 -
ca
パラメーターをipa
に設定します。
-
roles
の下にrhel-system-roles.certificate
ロールを設定します。以下は、この例の Playbook ファイルです。
--- - hosts: webserver vars: certificate_requests: - name: mycert dns: www.example.com principal: HTTP/www.example.com@EXAMPLE.COM ca: ipa roles: - rhel-system-roles.certificate
-
- ファイルを保存します。
Playbook を実行します。
$ *ansible-playbook -i inventory.file request-certificate.yml*
関連情報
-
/usr/share/ansible/roles/rhel-system-roles.certificate/README.md
ファイルを参照してください。 -
ansible-playbook(1)
man ページを参照してください。