Re: Problemen met rechten LetsEncrypt verwacht
On Sat, Jan 27, 2024 at 06:07:28PM +0100, Geert Stappers wrote:
> On Sat, Jan 27, 2024 at 02:16:52PM +0100, Paul van der Vlis wrote:
> > Op 27-01-2024 om 00:00 schreef Richard Lucassen:
> > > On Wed, 24 Jan 2024 15:15:37 +0100 Paul van der Vlis wrote:
> > >
> > > > Op een vers geinstalleerde Debian12 heb ik een raar probleem met
> > > > LetsEncrypt certificaten. (Ik gebruik certbot, weet niet of dat van
> > > > belang is.)
> > > >
> > > > Eerder was het zo dat gebruikers die lid waren van de groep ssl-cert
> > > > bij de certicaten en keys mochten, maar nu niet meer. Alleen root mag
> > > > erbij.
> > > >
> > > > Weet iemand hier meer van? Ik zag geen bug.
> > >
> > > Ik neem aan dat de user wel lid is van de groep ssl-cert. Eerst
> > > uitloggen en weer inloggen voordat de user echt tot de groep hoort.
> > > Misschien is dat het?
> >
> > Alles in /etc/letsencrypt was root:root.
> > Dan helpt het niet als een user lid is van een groep.
>
> Lees verder
>
Voor een nieuwe poging.
[1]
>
> > Ik heb dit nu gewijzigd, maar met kans op fouten. En ook een kans dat het
> > weer fout gaat bij een nieuw certificaat of bij het verlengen van een
> > certificaat.
>
> Vastwel
>
Waar het mis is gegaan is mijn inziens minder belangrijk dan hoe het
goed te krijgen.
Advies om het in **meerdere stappen** goed te krijgen. (in 1 keer goed
halen we al niet meer :-)
Eerste stap:
* sudo rm -rf /etc/letsencrypt # ja, dat is erg lomp [0]
* sudo mkdir /etc/letsencrypt
* sudo chmod a+rwx /etc/letsencrypt
Tweede stap:
* Laat certbot zijn ding doen
> > > > (Ik gebruik certbot, weet niet of dat van belang is.)
Derde stap:
* Kijk in /etc/letsencrypt naar wie bestandseigenaar is.
(vermoedelijk "certbot")
* Kijk ook naar file-permissies
Vierde stap:
* Ga met chmod aan de slag in /etc/letsencrypt,
verwijder de te ruime permissies
Vijfde stap:
* Voorkom dat het op andere systemen nodig is.
> Tot zo
Tussen de letsencrypt acties is het verstandig om voldoende "wachttijd" te
hebben. Denk in weken, zeker langer dan in dagen.
Groeten
Geert Stappers
[0] Overweeg om vooraf een kopie van /etc/letsencrypt te maken
[1] De
> > Alles in /etc/letsencrypt was root:root.
> > Dan helpt het niet als een user lid is van een groep.
vind ik nog steeds een halve waarheid.
En eigenlijk een hele leugen.
--
Silence is hard to parse
Reply to: