Jutta Wrage via Exim-users-de <exim-users-de@???> (So 16 Feb 2020 15:32:52 CET):
> Hallo!
>
> Ich denke, es ist sinnvoll, zu schreiben, wie ich das Problem mit dem SSL-Key gelöst habe:
>
> Ein script in /usr/local/bin erstellt, daß im Letsencrypt-Verzeichnis auf einen neuen Key prüft und diesen bei Bedarf mit preserver-timestamps kopiert.
Je nachdem, wie Du zu den LE Zertifikaten kommst, kann sicher ein Hook
verwendet werden, der unmittelbar nach dem Holen der Zertifikate
das macht, was notwendig ist.
Ungetestet - war gerade so eine Idee von mir, das über ein Makefile
zu lösen.
#!/usr/bin/make -f
/var/lib/exim4/ssl.pem: /var/lib/denhyrated/…/fullchain.pem …/privkey.pem
umask 0777 && cat "$^" >$@.tmp
chown root:Debian-exim $@.tmp
chmod u=rw,g=r $@
mv $@.tmp $@
Dem Exim genügt ein File für Key und Cert gemeinsam. (Das ist übrigens
bei der meisten
> Wichtig: Der Eigentümer muß bei Debian Debian-exim sein.
Diese Aussage ist nicht präzise. Und sogar gefährlich, weil es
impliziert, daß er Eigentümer mit dem File auch andere Dinge tun kann
(z.B. Rechte modifizieren, Inhalt ändern…)
Der Exim-Rumtime-User muss die Files lesen können.
-rw-r----- root Debian-exim ssl.pem
wäre das, was ich hier empfehle.
Best regards from Dresden/Germany
Viele Grüße aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome --------------- key ID: F69376CE -
! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -