Re: Problemen met rechten LetsEncrypt
Op 27-01-2024 om 23:43 schreef Richard Lucassen: On Sat, 27 Jan 2024 14:16:52 +0100 Paul van der Vlis wrote: Ik neem aan dat de user wel lid is van de groep ssl-cert. Eerst uitloggen en weer inloggen voordat de user echt tot de groep hoort. Misschien is dat het? Alles in /etc/letsencrypt was root:root. Dan helpt het niet als een user lid is van een groep. Ik heb dit nu gewijzigd, maar met kans op fouten. En ook een kans dat het weer fout gaat bij een nieuw certificaat of bij het verlengen van een certificaat. Ik gebruik ook certbot en ik heb gemerkt dat het af en toe misgaat en dan maakt-ie directories aan met domain.tld-0001 of dirs van gelijke strekking (iets met een nummer als 0001, 0002 etc). Ik heb destijds een quick and dirty script in elkaar gejast: ### #!/bin/dash certbot \ --manual \ --preferred-challenges dns \ certonly \ -d domain.tld \ -d www.domain.tld \ --config-dir ~/share/letsencrypt/etc/ \ --work-dir ~/share/letsencrypt/certs/ \ --logs-dir ~/share/letsencrypt/log/ cd ~/share/letsencrypt/etc/live/domain.tld cat fullchain.pem privkey.pem > domain.tld-bundle.pem scp domain.tld-bundle.pem \ root@:/etc/ssl/domain.tld/ ssh root@ service lighttpd restart ### Op de server zet ik die bundel op chmod 400. De server start toch als root op, leest de spullen uit en gaat dan verder met een unprivileged user. Dat doen sommige applicaties zoals Apache, maar in dit geval gebruikte ik Cyrus-IMAP wat dat blijkbaar niet doet. In de logs stond in elk geval dat hij het niet kon lezen. En alles ging goed nadat ik de rechten veranderde. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Problemen met rechten LetsEncrypt
On Sat, 27 Jan 2024 14:16:52 +0100 Paul van der Vlis wrote: > > Ik neem aan dat de user wel lid is van de groep ssl-cert. Eerst > > uitloggen en weer inloggen voordat de user echt tot de groep hoort. > > Misschien is dat het? > > Alles in /etc/letsencrypt was root:root. > Dan helpt het niet als een user lid is van een groep. > > Ik heb dit nu gewijzigd, maar met kans op fouten. En ook een kans dat > het weer fout gaat bij een nieuw certificaat of bij het verlengen van > een certificaat. [addendum] Ik heb, zoals Geert al opperde, de hele boel wel eens opnieuw opgezet. En sinds de laatste keer gaat het eigenlijk best wel goed. -- richard lucassen http://contact.xaq.nl/
Re: Problemen met rechten LetsEncrypt
On Sat, 27 Jan 2024 14:16:52 +0100 Paul van der Vlis wrote: > > Ik neem aan dat de user wel lid is van de groep ssl-cert. Eerst > > uitloggen en weer inloggen voordat de user echt tot de groep hoort. > > Misschien is dat het? > > Alles in /etc/letsencrypt was root:root. > Dan helpt het niet als een user lid is van een groep. > > Ik heb dit nu gewijzigd, maar met kans op fouten. En ook een kans dat > het weer fout gaat bij een nieuw certificaat of bij het verlengen van > een certificaat. Ik gebruik ook certbot en ik heb gemerkt dat het af en toe misgaat en dan maakt-ie directories aan met domain.tld-0001 of dirs van gelijke strekking (iets met een nummer als 0001, 0002 etc). Ik heb destijds een quick and dirty script in elkaar gejast: ### #!/bin/dash certbot \ --manual \ --preferred-challenges dns \ certonly \ -d domain.tld \ -d www.domain.tld \ --config-dir ~/share/letsencrypt/etc/ \ --work-dir ~/share/letsencrypt/certs/ \ --logs-dir ~/share/letsencrypt/log/ cd ~/share/letsencrypt/etc/live/domain.tld cat fullchain.pem privkey.pem > domain.tld-bundle.pem scp domain.tld-bundle.pem \ root@:/etc/ssl/domain.tld/ ssh root@ service lighttpd restart ### Op de server zet ik die bundel op chmod 400. De server start toch als root op, leest de spullen uit en gaat dan verder met een unprivileged user. HTH, R. -- richard lucassen http://contact.xaq.nl/
Re: Problemen met rechten LetsEncrypt verwacht
On Sat, Jan 27, 2024 at 06:07:28PM +0100, Geert Stappers wrote: > On Sat, Jan 27, 2024 at 02:16:52PM +0100, Paul van der Vlis wrote: > > Op 27-01-2024 om 00:00 schreef Richard Lucassen: > > > On Wed, 24 Jan 2024 15:15:37 +0100 Paul van der Vlis wrote: > > > > > > > Op een vers geinstalleerde Debian12 heb ik een raar probleem met > > > > LetsEncrypt certificaten. (Ik gebruik certbot, weet niet of dat van > > > > belang is.) > > > > > > > > Eerder was het zo dat gebruikers die lid waren van de groep ssl-cert > > > > bij de certicaten en keys mochten, maar nu niet meer. Alleen root mag > > > > erbij. > > > > > > > > Weet iemand hier meer van? Ik zag geen bug. > > > > > > Ik neem aan dat de user wel lid is van de groep ssl-cert. Eerst > > > uitloggen en weer inloggen voordat de user echt tot de groep hoort. > > > Misschien is dat het? > > > > Alles in /etc/letsencrypt was root:root. > > Dan helpt het niet als een user lid is van een groep. > > Lees verder > Voor een nieuwe poging. [1] > > > Ik heb dit nu gewijzigd, maar met kans op fouten. En ook een kans dat het > > weer fout gaat bij een nieuw certificaat of bij het verlengen van een > > certificaat. > > Vastwel > Waar het mis is gegaan is mijn inziens minder belangrijk dan hoe het goed te krijgen. Advies om het in **meerdere stappen** goed te krijgen. (in 1 keer goed halen we al niet meer :-) Eerste stap: * sudo rm -rf /etc/letsencrypt # ja, dat is erg lomp [0] * sudo mkdir /etc/letsencrypt * sudo chmod a+rwx /etc/letsencrypt Tweede stap: * Laat certbot zijn ding doen > > > > (Ik gebruik certbot, weet niet of dat van belang is.) Derde stap: * Kijk in /etc/letsencrypt naar wie bestandseigenaar is. (vermoedelijk "certbot") * Kijk ook naar file-permissies Vierde stap: * Ga met chmod aan de slag in /etc/letsencrypt, verwijder de te ruime permissies Vijfde stap: * Voorkom dat het op andere systemen nodig is. > Tot zo Tussen de letsencrypt acties is het verstandig om voldoende "wachttijd" te hebben. Denk in weken, zeker langer dan in dagen. Groeten Geert Stappers [0] Overweeg om vooraf een kopie van /etc/letsencrypt te maken [1] De > > Alles in /etc/letsencrypt was root:root. > > Dan helpt het niet als een user lid is van een groep. vind ik nog steeds een halve waarheid. En eigenlijk een hele leugen. -- Silence is hard to parse
Re: Problemen met rechten LetsEncrypt verwacht
On Sat, Jan 27, 2024 at 02:16:52PM +0100, Paul van der Vlis wrote: > Op 27-01-2024 om 00:00 schreef Richard Lucassen: > > On Wed, 24 Jan 2024 15:15:37 +0100 Paul van der Vlis wrote: > > > > > Op een vers geinstalleerde Debian12 heb ik een raar probleem met > > > LetsEncrypt certificaten. (Ik gebruik certbot, weet niet of dat van > > > belang is.) > > > > > > Eerder was het zo dat gebruikers die lid waren van de groep ssl-cert > > > bij de certicaten en keys mochten, maar nu niet meer. Alleen root mag > > > erbij. > > > > > > Weet iemand hier meer van? Ik zag geen bug. > > > > Ik neem aan dat de user wel lid is van de groep ssl-cert. Eerst > > uitloggen en weer inloggen voordat de user echt tot de groep hoort. > > Misschien is dat het? > > Alles in /etc/letsencrypt was root:root. > Dan helpt het niet als een user lid is van een groep. Lees verder > Ik heb dit nu gewijzigd, maar met kans op fouten. En ook een kans dat het > weer fout gaat bij een nieuw certificaat of bij het verlengen van een > certificaat. Vastwel > Groet, > Paul Tot zo Geert Stappers -- Silence is hard to parse
Re: Problemen met rechten LetsEncrypt
Op 27-01-2024 om 00:00 schreef Richard Lucassen: On Wed, 24 Jan 2024 15:15:37 +0100 Paul van der Vlis wrote: Op een vers geinstalleerde Debian12 heb ik een raar probleem met LetsEncrypt certificaten. (Ik gebruik certbot, weet niet of dat van belang is.) Eerder was het zo dat gebruikers die lid waren van de groep ssl-cert bij de certicaten en keys mochten, maar nu niet meer. Alleen root mag erbij. Weet iemand hier meer van? Ik zag geen bug. Ik neem aan dat de user wel lid is van de groep ssl-cert. Eerst uitloggen en weer inloggen voordat de user echt tot de groep hoort. Misschien is dat het? Alles in /etc/letsencrypt was root:root. Dan helpt het niet als een user lid is van een groep. Ik heb dit nu gewijzigd, maar met kans op fouten. En ook een kans dat het weer fout gaat bij een nieuw certificaat of bij het verlengen van een certificaat. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Problemen met rechten LetsEncrypt
On Wed, 24 Jan 2024 15:15:37 +0100 Paul van der Vlis wrote: > Op een vers geinstalleerde Debian12 heb ik een raar probleem met > LetsEncrypt certificaten. (Ik gebruik certbot, weet niet of dat van > belang is.) > > Eerder was het zo dat gebruikers die lid waren van de groep ssl-cert > bij de certicaten en keys mochten, maar nu niet meer. Alleen root mag > erbij. > > Weet iemand hier meer van? Ik zag geen bug. Ik neem aan dat de user wel lid is van de groep ssl-cert. Eerst uitloggen en weer inloggen voordat de user echt tot de groep hoort. Misschien is dat het? R. -- richard lucassen http://contact.xaq.nl/
Problemen met rechten LetsEncrypt
Hoi allen, Op een vers geinstalleerde Debian12 heb ik een raar probleem met LetsEncrypt certificaten. (Ik gebruik certbot, weet niet of dat van belang is.) Eerder was het zo dat gebruikers die lid waren van de groep ssl-cert bij de certicaten en keys mochten, maar nu niet meer. Alleen root mag erbij. Weet iemand hier meer van? Ik zag geen bug. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
