19.4. certificate システムロールを使用して、証明書の発行前または発行後に実行するコマンドの指定
certificate ロールでは、Ansible Core を使用して、証明書の発行または更新の前後にコマンドを実行できます。
以下の例では、管理者が www.example.com の自己署名証明書を発行または更新する前に httpd サービスを停止し、後で再起動します。
前提条件
- 制御ノードと管理ノードを準備している
- 管理対象ノードで Playbook を実行できるユーザーとしてコントロールノードにログインしている。
-
管理対象ノードへの接続に使用するアカウントには、そのノードに対する
sudo権限がある。
手順
~/vpn-playbook.ymlなどの Playbook ファイルを次の内容で作成します。--- - hosts: managed-node-01.example.com roles: - rhel-system-roles.certificate vars: certificate_requests: - name: mycert dns: www.example.com ca: self-sign run_before: systemctl stop httpd.service run_after: systemctl start httpd.service-
nameパラメーターを希望する証明書の名前 (mycertなど) に設定します。 -
dnsパラメーターをドメインに設定し、証明書に追加します (例:www.example.com)。 -
caパラメーターを証明書を発行する際に使用する CA に設定します (例:self-sign)。 -
この証明書を発行または更新する前に、
run_beforeパラメーターを実行するコマンドに設定します (例:systemctl stop httpd.service)。 -
この証明書を発行または更新した後に、
run_afterパラメーターを実行するコマンドに設定します (例:systemctl start httpd.service)。
デフォルトでは、
certmongerは有効期限が切れる前に証明書の更新を自動的に試行します。これは、Ansible Playbook のauto_renewパラメーターをnoに設定すると無効にできます。-
Playbook の構文を検証します。
$ ansible-playbook --syntax-check ~/playbook.ymlこのコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。
Playbook を実行します。
$ ansible-playbook ~/playbook.yml
関連情報
-
/usr/share/ansible/roles/rhel-system-roles.certificate/README.mdfile -
/usr/share/doc/rhel-system-roles/certificate/ディレクトリー
