8.3. Solicitação de um novo certificado da IdM CA usando a função de Sistema de Certificado

Com a função de Sistema de Certificado, você pode usar o Red Hat Ansible Engine para emitir certificados enquanto usa um servidor IdM com uma autoridade de certificado integrada (CA). Portanto, você pode gerenciar eficiente e consistentemente a cadeia de confiança de certificados para múltiplos sistemas ao usar o IdM como a CA.

Este processo utiliza o provedor certmonger e solicita o certificado através do comando getcert.

Nota

Por padrão, certmonger tenta automaticamente renovar o certificado antes que ele expire. Você pode desabilitar isto definindo o parâmetro auto_renew no livro de jogo Ansible playbook para no.

Pré-requisitos

  • Você tem o Red Hat Ansible Engine instalado no sistema a partir do qual você deseja executar o playbook.

    Nota

    Você não precisa ter o Ansible instalado nos sistemas nos quais você deseja implantar a solução certificate.

  • Você tem o pacote rhel-system-roles instalado no sistema a partir do qual você deseja executar o playbook.

    Para detalhes sobre as funções do Sistema RHEL e como aplicá-las, consulte Introdução às funções do Sistema RHEL.

Procedimento

  1. Optional: Criar um arquivo de inventário, por exemplo inventory.file: 

    inventário.file $ touch

  2. Abra seu arquivo de inventário e defina os anfitriões sobre os quais você deseja solicitar o certificado, por exemplo: 

    [webserver]
server.idm.example.com

  3. Criar um arquivo de playbook, por exemplo request-certificate.yml:

    • Defina hosts para incluir os anfitriões sobre os quais você deseja solicitar o certificado, como webserver.

    • Defina a variável certificate_requests para incluir o seguinte:

      • Ajuste o parâmetro name para o nome desejado do certificado, tal como mycert.
      • Defina o parâmetro dns para o domínio a ser incluído no certificado, tal como www.example.com.
      • Definir o parâmetro principal para especificar o principal Kerberos, tal como HTTP/www.example.com@EXAMPLE.COM.
      • Ajustar o parâmetro ca para ipa.

    • Definir o papel do rhel-system-roles.certificate em roles.

      Este é o arquivo do playbook para este exemplo: 

      ---
- hosts: webserver
  vars:
    certificate_requests:
      - name: mycert
        dns: www.example.com
        principal: HTTP/www.example.com@EXAMPLE.COM
        ca: ipa

  roles:
    - rhel-system-roles.certificate
  4. Salvar o arquivo.

  5. Execute o livro de brincadeiras: 

    $ ansible-playbook -i inventory.file request-certificate.yml

Recursos adicionais

  • Para detalhes sobre os parâmetros usados na variável certificate_requests e informações adicionais sobre a função do sistema certificate, consulte o arquivo /usr/share/ansible/roles/rhel-system-roles.certificate/README.md.
  • Para obter detalhes sobre o comando ansible-playbook, consulte a página de manual ansible-playbook(1).