Re: [Exim-users-de] Lösung: exim.crt und key

Top Page
Delete this message
Reply to this message
Author: Heiko Schlittermann
Date:  
To: exim-users-de
Subject: Re: [Exim-users-de] Lösung: exim.crt und key
Jutta Wrage via Exim-users-de <exim-users-de@???> (So 16 Feb 2020 15:32:52 CET):
> Hallo!
>
> Ich denke, es ist sinnvoll, zu schreiben, wie ich das Problem mit dem SSL-Key gelöst habe:
>
> Ein script in /usr/local/bin erstellt, daß im Letsencrypt-Verzeichnis auf einen neuen Key prüft und diesen bei Bedarf mit preserver-timestamps kopiert.


Je nachdem, wie Du zu den LE Zertifikaten kommst, kann sicher ein Hook
verwendet werden, der unmittelbar nach dem Holen der Zertifikate
das macht, was notwendig ist.

Ungetestet - war gerade so eine Idee von mir, das über ein Makefile
zu lösen.

    #!/usr/bin/make -f
    /var/lib/exim4/ssl.pem: /var/lib/denhyrated/…/fullchain.pem …/privkey.pem
        umask 0777 && cat "$^" >$@.tmp
        chown root:Debian-exim $@.tmp
        chmod u=rw,g=r $@
        mv $@.tmp $@


Dem Exim genügt ein File für Key und Cert gemeinsam. (Das ist übrigens
bei der meisten

> Wichtig: Der Eigentümer muß bei Debian Debian-exim sein.

Diese Aussage ist nicht präzise. Und sogar gefährlich, weil es
impliziert, daß er Eigentümer mit dem File auch andere Dinge tun kann
(z.B. Rechte modifizieren, Inhalt ändern…)

Der Exim-Rumtime-User muss die Files lesen können.

    -rw-r----- root Debian-exim ssl.pem


wäre das, was ich hier empfehle.

    Best regards from Dresden/Germany
    Viele Grüße aus Dresden
    Heiko Schlittermann
--
 SCHLITTERMANN.de ---------------------------- internet & unix support -
 Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
 gnupg encrypted messages are welcome --------------- key ID: F69376CE -
 ! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -