Freitag, 20. Mai 2016

Lets Encrypt Skript v0.2

Das Skript zur Erneuerung des Zertifikats auf meinem Owncloud-Server sieht so aus:

#!/bin/bash
/bin/bash /etc/rc.d/rc.httpd stop
/sbin/shorewall save
/sbin/shorewall open all <my server ip> tcp 80
/sbin/shorewall open all <my server ip> tcp 443
/usr/bin/letsencrypt certonly --keep --rsa-key-size 4096 -d <my domain>
/sbin/shorewall restore
/bin/bash /etc/rc.d/rc.httpd start
if [ /service/qmail-smtps/supervise/control -ot /etc/letsencrypt/live/<my domain>/cert.pem ]; then
  echo "Restarting QMail with new cert"
  /usr/local/bin/svc -t /service/qmail-pop3ds
  /usr/local/bin/svc -t /service/qmail-smtps
  /usr/local/bin/svc -t /service/qmail-smtpd
fi


Mit der --keep-Option werden die Zertifikate erst dann erneuert, wenn sie dafür "reif" sind. Die --rsa-key-size kann eigentlich raus, sie wurde nur initial benötigt. Das Skript liegt unter /etc/cron.weekly.

Ich habe mir im Laufe der Jahre angewöhnt, in Shellskripten immer mit absoluten Pfaden zu arbeiten, denn es ist nicht anzunehmen, dass jeder User den gleichen PATH hat. Und sicherer ist es auch.

Qmail bekommt den Zertifikatswechsel natürlich ebenfalls mitgeteilt.

Keine Kommentare:

Kommentar veröffentlichen