Eu tenho um serviço (ejabberd, embora essa questão não seja específica do ejabberd) executada como um usuário não raiz. Eu quero que ele use um certificado fornecido pelo letsencrypt.
Idealmente, gostaria que o letsencrypt colocasse / atualizasse um certificado no diretório de configuração do serviço. Não consegui encontrar uma maneira de fazer isso; existe uma opção --cert-path, mas ou não funciona ou não faz o que eu acho que faz.
Como alternativa, eu poderia ajustar as permissões em / etc / letsencrypt; se essa é minha única opção, quais são as permissões mínimas necessárias? Eu preferiria não ter um único grupo letsencrypt para esse propósito, porque eu poderia ter vários serviços que não deveriam ter acesso às chaves uns dos outros. Mas a estrutura de diretórios dificulta o acesso do usuário a um único conjunto de chaves.
Tags lets-encrypt