Letsencrypt 証明書のアクセス拒否エラー

tag-icon tag-icon ubuntu dovecot certbot
Letsencrypt 証明書のアクセス拒否エラー

このエラーは、権限が原因で証明書を読み取ることができない dovecot からのものです。権限を変更してみましたが、現在はすべて 644 に設定されています。パスは/etc/letsencrypt/archivesファイル パスへのリンクにすぎないことは理解していますが、何が起こっているのかまったくわかりません。リンクの権限がターゲットにどのように影響するかはわかりません。

mail dovecot: imap(example_user)<28542><mxY1sjPSlsxHvuNn>: 
 Panic: Settings check unexpectedly failed: ssl_client_ca_dir: 
 access(/etc/letsencrypt/live/mail.servicemouse.com) failed: Permission denied

答え1

適切な権限を設定する必要があります。リンクは(/etc/letsencrypt/live)であり、実際のファイル( /etc/letsencrypt/archives)。新しいファイルは「安全な」アクセス許可を取得するため、証明書を更新するたびにこれを修正します。次のスクリプトは、私が以前使用したものです。

#!/bin/bash

#use: certbot renew --post-hook /usr/local/bin/certbot-renew-fix-file-access.sh

chmod 0755 /etc/letsencrypt/
chmod 0711 /etc/letsencrypt/live/
chmod 0750 /etc/letsencrypt/live/example.com/
chmod 0711 /etc/letsencrypt/archive/
chmod 0750 /etc/letsencrypt/archive/example.com/
chmod 0640 /etc/letsencrypt/archive/example.com/{cert,chain,fullchain}*.pem
chmod 0640 /etc/letsencrypt/archive/example.com/privkey*.pem

chown root:root /etc/letsencrypt/
chown root:root /etc/letsencrypt/live/
chown root:mail /etc/letsencrypt/live/example.com/
chown root:root /etc/letsencrypt/archive/
chown root:mail /etc/letsencrypt/archive/example.com/
chown root:mail /etc/letsencrypt/archive/example.com/{cert,chain,fullchain}*.pem
chown root:mail /etc/letsencrypt/archive/example.com/privkey*.pem

/etc/init.d/postfix restart
/etc/init.d/cyrus restart
/etc/init.d/apache2 restart

サービスが実行されていない場合はホスト名、グループ名、mailおよび更新後に新しい証明書を取得する必要があるサービスを調整する必要があります。

関連情報