MK
превед всем. кто-нибудь юзал community.crypto.x509_certificate ? в чем разница между провайдерами ownca и selfsigned ? по описанию это об одном и том же
Size: a a a
2021 March 22
L
превед всем. кто-нибудь юзал community.crypto.x509_certificate ? в чем разница между провайдерами ownca и selfsigned ? по описанию это об одном и том же
selfsigned - это самоподписанный сертификат получается
ownca - это если у вас есть свой CA - certificate authority, которым вы будете подписывать свой сертификат
ownca - это если у вас есть свой CA - certificate authority, которым вы будете подписывать свой сертификат
MK
я понимаю в целом) но самоподписанный он же тоже подписывается каким-то ca, правильно? типо или ноунейм ca или свой?
MK
мне пока не очень получается соотнести это с тем, как я генерил openssl пакетом. там самоподписанный без генерации CA просто не сделать т.к. подписать нечем.
MK
ну да, он просто генерится, потому и получается недоверенный, что его никто не заверил)
L
мне пока не очень получается соотнести это с тем, как я генерил openssl пакетом. там самоподписанный без генерации CA просто не сделать т.к. подписать нечем.
CA не обязателен, тогда просто selfsigned используйте
MK
спасибо за комментарии, вроде улолвил, но в любом случае стоит посмотреть оба варианта)
SP
selfsigned - это самоподписанный сертификат получается
ownca - это если у вас есть свой CA - certificate authority, которым вы будете подписывать свой сертификат
ownca - это если у вас есть свой CA - certificate authority, которым вы будете подписывать свой сертификат
openssl вполне позволяет сгенерить свой карманный CA, если при этом во всю инфру раскидать серт CA - вообще норм получается.
MK
openssl вполне позволяет сгенерить свой карманный CA, если при этом во всю инфру раскидать серт CA - вообще норм получается.
об этом и речь. раньше так делал, решил освоить модуль, появились вопросы - как работает selfsigned без CA
MK
разве что CA не раскидывал, а включал в состав fullchain.pem
L
спасибо за комментарии, вроде улолвил, но в любом случае стоит посмотреть оба варианта)
Если с ca, то я рекламну роль @zh_erzh там отлично показано как использовать модули ансибла для генерации сертов кубера:
https://github.com/erzh1906/kubernetes-playbook/blob/master/certificates/generate.yml
https://github.com/erzh1906/kubernetes-playbook/blob/master/certificates/generate.yml
SP
об этом и речь. раньше так делал, решил освоить модуль, появились вопросы - как работает selfsigned без CA
Так и работает - нет там корня доверия. Ну плюс OIDы же специальные CA обозначают.
MK
Если с ca, то я рекламну роль @zh_erzh там отлично показано как использовать модули ансибла для генерации сертов кубера:
https://github.com/erzh1906/kubernetes-playbook/blob/master/certificates/generate.yml
https://github.com/erzh1906/kubernetes-playbook/blob/master/certificates/generate.yml
спасибо, посмотрю
A
об этом и речь. раньше так делал, решил освоить модуль, появились вопросы - как работает selfsigned без CA
Self signed - это сам себе CA
VZ
мне пока не очень получается соотнести это с тем, как я генерил openssl пакетом. там самоподписанный без генерации CA просто не сделать т.к. подписать нечем.
в браузеры , заносятся из коробки CA которым доверяют и убирают , если теряют доверия
AB
Подскажите, пожалуйста, как в подобном варианте указать несколько групп:
{% for host in groups['app_servers'] %}DK
Подскажите, пожалуйста, как в подобном варианте указать несколько групп:
{% for host in groups['app_servers'] %}вложенный цикл, первый по группам, второй по хостам
AB
вложенный цикл, первый по группам, второй по хостам
т.е. в параметрах groups может быть только одна группа?
DK
т.е. в параметрах groups может быть только одна группа?
или смерж листы, в доке к jinja можешь глянуть. Но если тебе такое надо делать, то ты скорее всего где то не там свернул