Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
ateliers:serveurmail:letsencrypt [2018/01/28 13:19] – okhin | ateliers:serveurmail:letsencrypt [2018/06/27 17:34] (Version actuelle) – Ajout du groupe tls dans les étapes nécessaires. okhin |
---|
L'adresse email connue de let's encrypt : root@anarcha.pink (à changer) | L'adresse email connue de let's encrypt : root@anarcha.pink (à changer) |
| |
On a dû changer les permissions des clés afin que le moins de monde possible ait accès à la clé (la ligne de commande dessous enlève la permission au groupe, et aux autres utilisateurs, ne laissant que root) | Pour restreindre l'accès au clefs, mais permettre quand même de pouvoir les lire, un groupe ``tls`` doit être créé, et les permissions doivent ensuite être adaptée. Pour donner l'accès aux certificats au services par la suite, il suffira d'ajouter l'utilisateur qui fait tourner le daemon à ce groupe avec la commande ``adduser``. |
| |
$ chmod g-r,o-r /etc/letsencrypt/archive/mail.anarcha.pink/* | $ sudo chgrp tls -R /etc/letsencrypt/ |
| $ sudo chmod o-r /etc/letsencrypt/archive/mail.anarcha.pink/* |
| |
Pour mettre à jour automatiquement la mise à jour du certificat, nous avons fait un script (situé à '''/usr/local/bin/renewal_mail.anarcha.pink'''). Il change automatiquement les permissions et éteint et relance les services opensmtpd et dovecot. Ce script est rajouté à la configuration de mise à jour du certificat letsencrypt ('''/etc/letsencrypt/renewal/mail.anarcha.pink.conf''') dans les options : renew_hook = /usr/local/bin/renewal_mail.anarcha.pink | Pour mettre à jour automatiquement le certificat, nous avons fait un script (situé à ''/usr/local/bin/renewal_mail.anarcha.pink''). Il change automatiquement les permissions et éteint et relance les services opensmtpd et dovecot. Ce script est rajouté à la configuration de mise à jour du certificat letsencrypt |
| |
| <code|h /etc/letsencrypt/renewal/mail.anarcha.pink.conf> |
| renew_hook = /usr/local/bin/renewal_mail.anarcha.pink |
| </code> |
| |
<code|h /usr/local/bin/renewal_mail.anarcha.pink> | <code|h /usr/local/bin/renewal_mail.anarcha.pink> |