Ansible×BIG-IP LTM-証明書の登録編(f5networks.f5_modules.bigip_ssl_certificate)

Ansible
スポンサーリンク
スポンサーリンク

解説(04_ssl_certificate.yml)

以下のような記述となっています。

– name: import certificate
  f5networks.f5_modules.bigip_ssl_certificate:
    name: “{{ item.name }}”
    state: “{{ item.state }}”
    content: “{{ item.content }}”
    provider:
      server: “{{ ansible_host }}”
      user: “{{ ansible_user }}”
      password: “{{ ansible_password }}”
      validate_certs: no
  register: result
  loop: “{{ certificate }}”
– name: display result of import certificate
  debug:
    var: result

使用しているモジュールについて

f5networks.f5_modules.bigip_ssl_certificateモジュールを使用します。署名付きの証明書のインストールしか対応していないため、秘密鍵と証明付き証明書の両方をインストールする場合は違うモジュールを使用します。
また、変数ファイルは以下となります。パラメータは適宜変更してください。

※host_vars/virtualserver-1/vars.ymlより引用

##### ssl_certificate用の変数を定義 ####
certificate:
  – name: test_self-signed_key
    state: present
    content: “{{ lookup(‘file’, ‘./roles/Create_vertual_server_with_SNAT/files/test_self-signed_key’) }}”
  # content: lookup(‘file’, ‘./roles/Create_vertual_server_with_SNAT/files/test_self-signed_key’)
※:証明書についてはSSHでBIG-IPのVMにログイン後、以下のコマンドで作成しています。また、鍵長やその他情報については適宜修正してください。あくまでも検証用に命名しています。
【コマンド】
tmsh
create sys crypto key test_self-signed_key key-size 2048 gen-certificate country JP city Tokyo state Tokyo organization ‘ITDOREI, Inc.’ ou ‘network team’ common-name *.itdorei.com lifetime 365
quit
※:また、ファイルについてはroles配下のfilesに格納しています。要件に応じて任意の場所に配置可能です。その場合は、contentの引数であるlookupプラグインのファイル保存場所のディレクトリを修正してください。
実行結果は次のようになります
BIG-IPのVMを確認したところ、ちゃんと証明書がインストールされました。

コメント