Path: ...!news.nobody.at!weretis.net!feeder8.news.weretis.net!news.trigofacile.com!.POSTED.176.143-2-105.abo.bbox.fr!not-for-mail From: =?UTF-8?Q?Julien_=c3=89LIE?= Newsgroups: fr.comp.usenet.serveurs Subject: Re: letsencrypt et INN2 Date: Sun, 12 Jun 2022 09:37:03 +0200 Organization: Groupes francophones par TrigoFACILE Message-ID: References: MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit Injection-Date: Sun, 12 Jun 2022 07:37:03 -0000 (UTC) Injection-Info: news.trigofacile.com; posting-account="julien"; posting-host="176.143-2-105.abo.bbox.fr:176.143.2.105"; logging-data="2586846"; mail-complaints-to="abuse@trigofacile.com" User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:91.0) Gecko/20100101 Thunderbird/91.10.0 Cancel-Lock: sha1:Bev0DKT+sjWxLUgCndkrQJJ2aH4= sha256:33zc4mwdzH2g//lI77LiGZF6aDv0khWmvx8RYGTCe0A= sha1:3OcZfk6yU3LlGuypFfiavsIT6VA= sha256:2xcFw3QKbQyLpYThh3v9V+4QEjlO/Vka+GResSAUzms= In-Reply-To: Bytes: 4658 Lines: 90 Salut Stéphane, > J'ai des soucis de droits UNIX, donc j'ai copié dans /etc/news les > fichiers et je les ai rendus lisibles par news(j'avais corrigé les > droits dans /etc/letsencrypt/archive/pasdenom.info mais ce n'était > bizarrement pas suffisant... La configuration ci-dessous fonctionne normalement : % ls -l /etc/letsencrypt drwx------ 4 root root 4.0K Nov 3 2021 accounts/ drwxr-xr-x 3 root root 4.0K Nov 3 2021 archive/ -rw-r--r-- 1 root root 249 Nov 5 2021 cli.ini drwxr-xr-x 2 root root 4.0K May 5 11:21 csr/ drwx------ 2 root root 4.0K May 5 11:21 keys/ drwxr-xr-x 3 root root 4.0K Nov 3 2021 live/ drwxr-xr-x 2 root root 4.0K May 5 11:21 renewal/ drwxr-xr-x 5 root root 4.0K Nov 3 2021 renewal-hooks/ => 755 root/root pour archive et live % ls -l /etc/letsencrypt/archive drwxr-xr-x 2 root root 4.0K May 5 11:21 news.trigofacile.com/ % ls -l /etc/letsencrypt/live -rw-r--r-- 1 root root 740 Nov 3 2021 README drwxr-xr-x 2 root root 4.0K May 5 11:21 news.trigofacile.com/ => Similairement, 755 root/root pour le répertoire où sont tes certificats dans archive et live. % ls -l /etc/letsencrypt/archive/news.trigofacile.com -rw-r--r-- 1 root root 1.6K Nov 3 2021 cert1.pem -rw-r--r-- 1 root root 2.0K Nov 5 2021 cert2.pem -rw-r--r-- 1 root root 2.0K Jan 4 19:48 cert3.pem -rw-r--r-- 1 root root 2.0K Mar 6 09:29 cert4.pem -rw-r--r-- 1 root root 2.0K May 5 11:21 cert5.pem -rw-r--r-- 1 root root 3.7K Nov 3 2021 chain1.pem -rw-r--r-- 1 root root 3.7K Nov 5 2021 chain2.pem -rw-r--r-- 1 root root 3.7K Jan 4 19:48 chain3.pem -rw-r--r-- 1 root root 3.7K Mar 6 09:29 chain4.pem -rw-r--r-- 1 root root 3.7K May 5 11:21 chain5.pem -rw-r--r-- 1 root root 5.3K Nov 3 2021 fullchain1.pem -rw-r--r-- 1 root root 3.8K Nov 5 2021 fullchain2.pem -rw-r--r-- 1 root root 5.7K Jan 4 19:48 fullchain3.pem -rw-r--r-- 1 root root 5.7K Mar 6 09:29 fullchain4.pem -rw-r--r-- 1 root root 5.7K May 5 11:21 fullchain5.pem -rw-r----- 1 root news 241 Nov 3 2021 privkey1.pem -rw-r----- 1 root news 2.5K Nov 5 2021 privkey2.pem -rw-r----- 1 root news 2.5K Jan 4 19:48 privkey3.pem -rw-r----- 1 root news 2.5K Mar 6 09:29 privkey4.pem -rw-r----- 1 root news 2.5K May 5 11:21 privkey5.pem => 640 root/news pour les clefs privées Certbot va utiliser les mêmes permissions lors des renouvellements donc tu n'as à réaliser les changements qu'une seule fois :) De mémoire, c'étaient les seules adaptations de droits que j'avais faites pour que les clefs soient bien accessibles par nnrpd. > Bon j'ai désormais : > tlscapath: /etc/news > tlscafile: /etc/news/chain.pem > tlscertfile: /etc/news/cert.pem > tlskeyfile: /etc/news/privkey.pem > > Je n'ai pas encore fait le restart... Les certificats sont relus à chaque connexion d'un nouveau client (c'est un nouvel nnrpd qui est "forké") donc il n'y a même pas besoin de relancer quoi que ce soit. > flnews fonctionne bien avec eternal-september. Et normalement aussi avec mon serveur (news.trigofacile.com) ; j'avais testé la connexion avec flnews l'an dernier. -- Julien ÉLIE « Ne pas monter bien haut, peut-être, mais tout seul ! » (Edmond Rostand)