Salut Stéphane,
J'ai des soucis de droits UNIX, donc j'ai copié dans /etc/news les
fichiers et je les ai rendus lisibles par news(j'avais corrigé les
droits dans /etc/letsencrypt/archive/pasdenom.info mais ce n'était
bizarrement pas suffisant...
La configuration ci-dessous fonctionne normalement :
% ls -l /etc/letsencrypt
drwx------ 4 root root 4.0K Nov 3 2021 accounts/
drwxr-xr-x 3 root root 4.0K Nov 3 2021 archive/
-rw-r--r-- 1 root root 249 Nov 5 2021 cli.ini
drwxr-xr-x 2 root root 4.0K May 5 11:21 csr/
drwx------ 2 root root 4.0K May 5 11:21 keys/
drwxr-xr-x 3 root root 4.0K Nov 3 2021 live/
drwxr-xr-x 2 root root 4.0K May 5 11:21 renewal/
drwxr-xr-x 5 root root 4.0K Nov 3 2021 renewal-hooks/
=> 755 root/root pour archive et live
% ls -l /etc/letsencrypt/archive
drwxr-xr-x 2 root root 4.0K May 5 11:21 news.trigofacile.com/
% ls -l /etc/letsencrypt/live
-rw-r--r-- 1 root root 740 Nov 3 2021 README
drwxr-xr-x 2 root root 4.0K May 5 11:21 news.trigofacile.com/
=> Similairement, 755 root/root pour le répertoire où sont tes certificats dans archive et live.
% ls -l /etc/letsencrypt/archive/news.trigofacile.com
-rw-r--r-- 1 root root 1.6K Nov 3 2021 cert1.pem
-rw-r--r-- 1 root root 2.0K Nov 5 2021 cert2.pem
-rw-r--r-- 1 root root 2.0K Jan 4 19:48 cert3.pem
-rw-r--r-- 1 root root 2.0K Mar 6 09:29 cert4.pem
-rw-r--r-- 1 root root 2.0K May 5 11:21 cert5.pem
-rw-r--r-- 1 root root 3.7K Nov 3 2021 chain1.pem
-rw-r--r-- 1 root root 3.7K Nov 5 2021 chain2.pem
-rw-r--r-- 1 root root 3.7K Jan 4 19:48 chain3.pem
-rw-r--r-- 1 root root 3.7K Mar 6 09:29 chain4.pem
-rw-r--r-- 1 root root 3.7K May 5 11:21 chain5.pem
-rw-r--r-- 1 root root 5.3K Nov 3 2021 fullchain1.pem
-rw-r--r-- 1 root root 3.8K Nov 5 2021 fullchain2.pem
-rw-r--r-- 1 root root 5.7K Jan 4 19:48 fullchain3.pem
-rw-r--r-- 1 root root 5.7K Mar 6 09:29 fullchain4.pem
-rw-r--r-- 1 root root 5.7K May 5 11:21 fullchain5.pem
-rw-r----- 1 root news 241 Nov 3 2021 privkey1.pem
-rw-r----- 1 root news 2.5K Nov 5 2021 privkey2.pem
-rw-r----- 1 root news 2.5K Jan 4 19:48 privkey3.pem
-rw-r----- 1 root news 2.5K Mar 6 09:29 privkey4.pem
-rw-r----- 1 root news 2.5K May 5 11:21 privkey5.pem
=> 640 root/news pour les clefs privées
Certbot va utiliser les mêmes permissions lors des renouvellements donc tu n'as à réaliser les changements qu'une seule fois :)
De mémoire, c'étaient les seules adaptations de droits que j'avais faites pour que les clefs soient bien accessibles par nnrpd.
Bon j'ai désormais :
tlscapath: /etc/news
tlscafile: /etc/news/chain.pem
tlscertfile: /etc/news/cert.pem
tlskeyfile: /etc/news/privkey.pem
Je n'ai pas encore fait le restart...
Les certificats sont relus à chaque connexion d'un nouveau client (c'est un nouvel nnrpd qui est "forké") donc il n'y a même pas besoin de relancer quoi que ce soit.
flnews fonctionne bien avec eternal-september.
Et normalement aussi avec mon serveur (news.trigofacile.com) ; j'avais testé la connexion avec flnews l'an dernier.
-- Julien ÉLIE« Ne pas monter bien haut, peut-être, mais tout seul ! » (Edmond Rostand)
Lestencrypt et INN2
Re: Lestencrypt et INN2
