Qual é a maneira apropriada de fornecer acesso a serviços não-root para certificados letencrypt

2

Eu tenho um serviço (ejabberd, embora essa questão não seja específica do ejabberd) executada como um usuário não raiz. Eu quero que ele use um certificado fornecido pelo letsencrypt.

Idealmente, gostaria que o letsencrypt colocasse / atualizasse um certificado no diretório de configuração do serviço. Não consegui encontrar uma maneira de fazer isso; existe uma opção --cert-path, mas ou não funciona ou não faz o que eu acho que faz.

Como alternativa, eu poderia ajustar as permissões em / etc / letsencrypt; se essa é minha única opção, quais são as permissões mínimas necessárias? Eu preferiria não ter um único grupo letsencrypt para esse propósito, porque eu poderia ter vários serviços que não deveriam ter acesso às chaves uns dos outros. Mas a estrutura de diretórios dificulta o acesso do usuário a um único conjunto de chaves.

    
por Andrew 28.09.2017 / 05:50

0 respostas