21.4. 使用 certificate RHEL 系统角色指定在证书颁发之前或之后要运行的命令
使用 certificate 系统角色,您可以使用 Ansible Core 在签发或更新证书前后执行命令。
在以下示例中,管理员确保在为 www.example.com 发布或更新自签名证书前停止 httpd 服务,然后再重启该服务。
先决条件
- 您已准备好控制节点和受管节点
- 以可在受管主机上运行 playbook 的用户登录到控制节点。
-
用于连接到受管节点的帐户具有
sudo权限。
流程
创建一个包含以下内容的 playbook 文件,如
~/playbook.yml:--- - hosts: managed-node-01.example.com roles: - rhel-system-roles.certificate vars: certificate_requests: - name: mycert dns: www.example.com ca: self-sign run_before: systemctl stop httpd.service run_after: systemctl start httpd.service-
将
name参数设为所需证书的名称,如mycert。 -
将
dns参数设要在证书中包含的域,如www.example.com。 -
将
ca参数设为您要用来发布证书的 CA,如self-sign。 -
将
run_before参数设为在签发或续订证书之前要执行的命令,如systemctl stop httpd.service。 -
将
run_after参数设为在签发或续订此证书后要执行的命令,如systemctl start httpd.service。
默认情况下,
certmonger会在证书过期前自动尝试续订证书。您可以通过将 Ansible playbook 中的auto_renew参数设为no来禁用此功能。-
将
验证 playbook 语法:
$ ansible-playbook --syntax-check ~/playbook.yml请注意,这个命令只验证语法,不会防止错误但有效的配置。
运行 playbook:
$ ansible-playbook ~/playbook.yml
其他资源
-
/usr/share/ansible/roles/rhel-system-roles.certificate/README.md文件 -
/usr/share/doc/rhel-system-roles/certificate/目录
