Martin Reising via Exim-users-de <exim-users-de@???> (So 16 Feb 2020 17:00:12 CET):
> In meinem /usr/local/sbin/dehydrated-renew benutze ich nur -enddate
>
> # get cert enddate Not After
> endzert=$(openssl x509 -enddate -noout -in ${zert}/cert.pem | cut -d"=" -f2)
> # convert to epoch -15 days
> renew=$(date -d "${endzert} -15 days" "+%s")
Kümmert sich dehydrated nicht von alleine nur um die Zertifikate, die es
dringend nötig haben? Oder habe ich jetzt was nicht verstanden. Ich
nutze dehydrated mit der domains.txt und rufe es einfach täglich auf. Es
erneuert dann alles, was not tut.
Und deploy_cert macht dann den Rest, wie bei Dir.
> In deploy_cert() sieht das dann so aus:
>
> # create new pem
> cat "${KEYFILE}" "${FULLCHAINFILE}" > "${my_target_pem}"
> # set owner & permissions
> chown root:Debian-exim "${my_target_pem}" && chmod 640 "${my_target_pem}"
… wobei das Eigentümerändern und Chmoden ja nicht jedesmal nötig ist,
aber schaden tut es natürlich auch nicht.
Es bleibt ein kurzer Moment, in dem das File vielleicht leer ist.
Vermutlich kann man in den meisten Setups damit leben. Idealerweise
würde aber erst das File gebaut mit einem temporären Namen und
anschließend umbenannt, dann ist es nie leer, sondern *entweder* das
alter *oder* das neue.
--
Heiko