On Sun, Feb 16, 2020 at 07:19:00PM +0100, Heiko Schlittermann via Exim-users-de wrote:
> Martin Reising via Exim-users-de <exim-users-de@???> (So 16 Feb 2020 17:00:12 CET):
> > In meinem /usr/local/sbin/dehydrated-renew benutze ich nur -enddate
> >
> > # get cert enddate Not After
> > endzert=$(openssl x509 -enddate -noout -in ${zert}/cert.pem | cut -d"=" -f2)
> > # convert to epoch -15 days
> > renew=$(date -d "${endzert} -15 days" "+%s")
>
> Kümmert sich dehydrated nicht von alleine nur um die Zertifikate, die es
> dringend nötig haben? Oder habe ich jetzt was nicht verstanden. Ich
> nutze dehydrated mit der domains.txt und rufe es einfach täglich auf. Es
> erneuert dann alles, was not tut.
Stimmt, aber ich will das nur Samstags Mittags und auch nur maximal 15
Tage vor dem Ablauf erneuern und nicht schon 30 Tage vorher.
> > In deploy_cert() sieht das dann so aus:
> >
> > # create new pem
> > cat "${KEYFILE}" "${FULLCHAINFILE}" > "${my_target_pem}"
> > # set owner & permissions
> > chown root:Debian-exim "${my_target_pem}" && chmod 640 "${my_target_pem}"
>
> … wobei das Eigentümerändern und Chmoden ja nicht jedesmal nötig ist,
> aber schaden tut es natürlich auch nicht.
>
> Es bleibt ein kurzer Moment, in dem das File vielleicht leer ist.
> Vermutlich kann man in den meisten Setups damit leben. Idealerweise
> würde aber erst das File gebaut mit einem temporären Namen und
> anschließend umbenannt, dann ist es nie leer, sondern *entweder* das
> alter *oder* das neue.
Danke für den Hinweis auf meinen peinlichen Fehler; werde ich so
abänderen.