我正在尝试创建一个Ansible游戏,然后将以前下载的SSL证书分发到我们的F5。我已更新到我们的许可证允许的最新版本,12.1.4。我可以在F5上放置密钥和证书文件。我可以手动配置这些证书,一切正常......但我需要通过Ansible自动完成此过程。
我们的F5目前被用作WaveForm服务的故障转移,该服务监控音频源。我正在尝试使用bigip_profile_client_ssl来更新WaveForm的客户端配置文件,以指向在先前步骤中上载的新SSL Certs。问题是我无法弄清楚如何更新现有的配置文件,bigip_profile_client_ssl似乎只是创建一个具有相同名称的新配置文件。我搜索了文档,谷歌等,但无法找到如何执行的答案,特别是客户端SSL配置文件的更新。
所以,当然,我想也许我可以删除旧条目并创建一个新条目。简单吧?但我也遇到了问题:我似乎无法弄清楚如何使用bigip_profile_client_ssl模块设置应用程序或分区/路径。我认为,具体的应用程序设置是将SSL配置绑定到实际网络资源的内容。
请参阅Ansible docs:https://docs.ansible.com/ansible/latest/modules/bigip_profile_client_ssl_module.html
请注意,这一切都在内部网络上运行,无法从外部访问。
这是我遇到问题的模块:
# fullpath from facts: "/Common/wf.site.com.app/wf.site.com_client-ssl"
- name: Update Client SSL Profile for WaveForm
bigip_profile_client_ssl:
provider:
server: "{{ server }}"
server_port: "{{ server_port }}"
user: "{{ f5_ad_user }}"
password: "{{ f5_ad_password }}"
transport: rest
validate_certs: no # temporary ignore SSL validation
state: present # as opposed to absent
name: "wf.site.com_client-ssl"
parent: "/Common/clientssl"
cert_key_chain:
- cert: "/Common/default.crt" #test-cert-fullchain.crt"
key: "/Common/default.key" #test-key.key"
# chain:
delegate_to: localhost
运行此操作后,我最终得到了两个wf.site.com_client-ssl条目。一个是新的,包含正确的证书但未配置为通过应用程序设置使用,正在使用的另一个条目保持不变。
正确的条目在本地流量>配置文件:SSL:客户端页面上看起来像这样:
名称|应用|家长简介|分区/路径wf.site.com_client-ssl | wf.site.com | clientssl |通用/ wf.site.com.app
新条目看起来像这样:
名称|应用|家长简介|分区/路径wf.site.com_client-ssl | (空白)| clientssl |共同
我有什么选择? Shell命令?
我发现多次运行我的Ansible playbook并没有产生多个新的客户端SSL配置文件。因此,作为一种解决方法,我忽略了现有配置的客户端SSL配置文件,我使用我的Ansible手册创建了新的客户端SSL配置文件,修改了应用程序设置以指向此新的客户端SSL配置文件,并且SSL到波形似乎仍然在-tact。我可以使用Common / default.crt和default.key进行更新,并查看wave表单SSL失败,并且可以使用正确的密钥和完整链证书再次运行ansible脚本,并查看波形是否按预期通过有效的HTTPS运行。应用程序配置似乎没有做任何其他事情...只是更改了配置的客户端SSL配置文件,所有似乎都按预期工作。
我希望这有助于其他可能遇到类似问题的人。