From a37cf36c7d25dc6a791e1d0fd97dfaf48459a352 Mon Sep 17 00:00:00 2001 From: Christian MOMON Date: Thu, 18 Nov 2021 23:17:29 +0000 Subject: [PATCH] =?UTF-8?q?Version=20finale=20visibilit=C3=A9=20Mumble.?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- README.md | 14 +++++++++----- 1 file changed, 9 insertions(+), 5 deletions(-) diff --git a/README.md b/README.md index 5d99bdf..1990b91 100644 --- a/README.md +++ b/README.md @@ -50,15 +50,19 @@ sslKey=/etc/letsencrypt/live/audio.a-lec.org/privkey.pem Rendre les certificats lisibles par Mumble : ``` -chown mumble-server /etc/letsencrypt/archive/audio.a-lec.org/privkey* +chgrp mumble-server /etc/letsencrypt/archive/audio.a-lec.org/privkey* +chmod g+r mumble-server /etc/letsencrypt/archive/audio.a-lec.org/privkey* ``` -Rendre persistante cette lisibilité lors du renouvellement de certificat en modifiant le cron (pas super élégant faute de trouer mieux): -``` --0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew -+0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew && chown mumbler-server /etc/letsencrypt/archive/audio.a-lec.org/privkey* +À noter que cela suffit même en cas de regénération du certificat. En effet, Certbot a l'intelligence de propager le groupe et les permissions du groupe des certificats précédents ! C'est même indiqué dans la documentation officielle, https://eff-certbot.readthedocs.io/en/stable/using.html : ``` +privkey.pem + Private key for the certificate […] + Note: As of Certbot version 0.29.0, private keys for new certificate + default to 0600. Any changes to the group mode or group owner (gid) + of this file will be preserved on renewals. +``` Redémarrer le service Mumble : ```