16.2. 使用 certificate 系统角色请求新的自签名证书
使用 certificate
系统角色,您可以使用 Ansible Core 发布自签名证书。
此过程使用 certmonger
提供者,并通过 getcert
命令请求证书。
注意
默认情况下,certmonger
会在证书过期前自动尝试续订证书。您可以通过将 Ansible playbook 中的 auto_renew
参数设为 no
来禁用此功能。
先决条件
- Ansible Core 软件包安装在控制机器上。
-
您已在要运行 playbook 的系统上安装了
rhel-system-roles
软件包。
流程
可选:创建一个清单文件,如
inventory.file
:$ *touch inventory.file*
打开清单文件并定义要请求证书的主机,例如:
[webserver] server.idm.example.com
创建 playbook 文件,如
request-certificate.yml
:-
将
hosts
设置为包含您要对其请求证书的主机,如webserver
。 将
certificate_requests
变量设置为包含以下内容:-
将
name
参数设为所需证书的名称,如mycert
。 -
将
dns
参数设为要在证书中包含的域,如*.example.com
。 -
将
ca
参数设为self-sign
。
-
将
在
roles
下设置rhel-system-roles.certificate
角色。这是本例的 playbook 文件:
--- - hosts: webserver vars: certificate_requests: - name: mycert dns: "*.example.com" ca: self-sign roles: - rhel-system-roles.certificate
-
将
- 保存该文件。
运行 playbook:
$ *ansible-playbook -i inventory.file request-certificate.yml*
其他资源
-
请参阅
/usr/share/ansible/roles/rhel-system-roles.certificate/README.md
文件。 -
请参阅
ansible-playbook(1)
手册页。