On Sat, 27 Jan 2024 14:16:52 +0100
Paul van der Vlis <paul@vandervlis.nl> wrote:
Ik neem aan dat de user wel lid is van de groep ssl-cert. Eerst
uitloggen en weer inloggen voordat de user echt tot de groep hoort.
Misschien is dat het?
Alles in /etc/letsencrypt was root:root.
Dan helpt het niet als een user lid is van een groep.
Ik heb dit nu gewijzigd, maar met kans op fouten. En ook een kans dat
het weer fout gaat bij een nieuw certificaat of bij het verlengen van
een certificaat.
Ik gebruik ook certbot en ik heb gemerkt dat het af en toe misgaat en
dan maakt-ie directories aan met domain.tld-0001 of dirs van gelijke
strekking (iets met een nummer als 0001, 0002 etc). Ik heb destijds een
quick and dirty script in elkaar gejast:
###################################################################
#!/bin/dash
certbot \
--manual \
--preferred-challenges dns \
certonly \
-d domain.tld \
-d www.domain.tld \
--config-dir ~/share/letsencrypt/etc/ \
--work-dir ~/share/letsencrypt/certs/ \
--logs-dir ~/share/letsencrypt/log/
cd ~/share/letsencrypt/etc/live/domain.tld
cat fullchain.pem privkey.pem > domain.tld-bundle.pem
scp domain.tld-bundle.pem \
root@<webserver>:/etc/ssl/domain.tld/
ssh root@<webserver> service lighttpd restart
###################################################################
Op de server zet ik die bundel op chmod 400. De server start toch als
root op, leest de spullen uit en gaat dan verder met een unprivileged
user.