Page d'accueil>Lié à la programmation>Autre code source
Télécharger

Rôle anible - Certbot

Star nous sur Github - cela nous motive beaucoup!

Installer et gérer CERTBOT

Exigences

Anible> = 2.10

⚡ Installation

 ANSIBLE-GALAXY INSTALLER CLARANET.CERTBOT

Variables de rôle

Variable Valeur par défaut Description
Certbot_packages ['Certbot', 'Python3-Pip'] Nom de package
certbot_webroot / var / www / lesencrypt Répertoire des défis HTTP
certbot_auto_renew vrai Activer le renouvellement du certificat
Certbot_Auto_Renew_User racine Utilisateur pour configurer le renouvellement du certificat
certbot_auto_renew_hour 3 Hour de travail Cron pour le renouvellement
certbot_auto_renew_minute 30 Cron Minutes de travail pour le renouvellement
certbot_auto_renew_option --quiet --no-self-mise à niveau Options de renouvellement de la commande
Certbot_Certs [] Voir par défaut / main.yml pour plus de détails
certbot_staging_enabled vrai Utiliser la mise en scène de lenscripteur
certbot_create_command certbot certificly --webroot ... Voir par défaut / main.yml pour plus de détails
Certbot_plugins [] Liste des plugins à installer à l'aide de PIP
certbot_plugins_pip_execuable PIP3 Exécutable PIP à utiliser pour installer des plugins CERTBOT
certbot_reload_services_before_enabled vrai Recharger certbot_reload_services avant de configurer CERTBOT
certbot_reload_services_after_enabled vrai Recharger certbot_reload_services Après la configuration de certbot
certbot_reload_services [] Liste des services à recharger

Dépendances

N / A

Défi HTTP-01

Pour utiliser le défi HTTP-01, vous devez uniquement utiliser le plugin Webroot (comportement par défaut)

Avant d'utiliser ce type de défi, votre serveur doit avoir une IP publique et une zone d'enregistrement DNS le pointant.

Configuration du serveur Web

Avant de configurer CERTBOT pour délivrer un certificat, vous devez configurer votre serveur Web afin de gérer les défis CERTBOT HTTP.

Apache2

 Alias ​​/.well-known/acme-challenge/ "/var/www/letsencrypt/.well-known/acme-challenge/"<Directory" / var / www / lesencrypt "> allatoverride aucun
    Options MultiViews Index SymLinkSifowNerMatch inclut le NOEXEC
    Exiger tous les accords </pertory>
 Certbot_Certs:
  - Courriel: "[email protected]" Certbot_Webroot: "/ var / www / letsencrypt" Domaines:
      - "lamp-01.clara.net" - "lamp-02.clara.net" Certbot_reload_services:
  - Apache2

Nginx 

location /.well-known/acme-challenge/ {
    alias /var/www/letsencrypt/.well-known/acme-challenge/;
}
 Certbot_Certs:
  - Courriel: "[email protected]" Certbot_Webroot: "/ var / www / letsencrypt" Domaines:
      - "lamp-01.clara.net" - "lamp-02.clara.net" Certbot_reload_services:
  - nginx

Défi DNS-01

Pour le certificat générique, vous devez utiliser une option --cert-name comme celle-ci pour éviter de créer un nouveau certificat pour chaque exécution ANSIBLE: 

--cert-name "{{ _certbot_cert_item.domains | first | regex_replace('^*.(.*)$'

Route53 Exemple

 Certbot_Certs:
- Courriel: "[email protected]"
  Domaines:
    - "* .molecule.clara.net" - Courriel: "[email protected]"
  Domaines:
    - "lamp-01.clara.net" - "lamp-02.clara.net" Certbot_reload_services:
  - nginxcertbot_create_command:> - certbot certitonly --dns-route53 {{'--staging --break-my-certs' if Certbot_Staging_enabled else ''}} - noninteractive --agree-tos --email {{_certbot_cert_item.email | Default (certbot_admin_email)}} --cert-name "{{_certbot_cert_item.domains | premier | regex_replace ('^ *. (. *) $', 'wildcard.1')}}" --expand -d {{_certbot_cert_item .Domains | join (',')}} certbot_plugins:
  - Certbot-dns-Route53 == 1.22.0

Exemple de livre de jeu

 ---
- hôtes: tout
  Rôles:
    - Claranet.certbot

Durcissement

Contributif

© ourd Licence

Licence publique de Mozilla version 2.0

Développer
Informations supplémentaires
Applications connexes
Recommandé pour vous
Actualités connexes Tout