{"id":1571,"date":"2016-05-11T06:39:46","date_gmt":"2016-05-11T06:39:46","guid":{"rendered":"http:\/\/esferas.org\/msqlu\/?p=1571"},"modified":"2016-05-11T06:44:48","modified_gmt":"2016-05-11T06:44:48","slug":"certificados-lets-encrypt-en-maquinas-secundarias","status":"publish","type":"post","link":"https:\/\/esferas.org\/msqlu\/2016\/05\/11\/certificados-lets-encrypt-en-maquinas-secundarias\/","title":{"rendered":"Certificados Let&#8217;s Encrypt en m\u00e1quinas secundarias &#8230;"},"content":{"rendered":"<p>.. que s\u00f3lo los consumen pero no los crean.<\/p>\n<p><!--more--><\/p>\n<p>Mientras ampliaba los <em>scripts<\/em> que <a href=\"http:\/\/esferas.org\/msqlu\/2016\/04\/26\/certificados-lets-encrypt-en-mas-de-un-servidor\/\">distribuyen los certificados<\/a> tras su renovaci\u00f3n estuve pensando en que no es necesario limitarse tanto con los accesos a los mismos y me explico.<\/p>\n<p>La mayor parte de los servicios que hacen uso de los certificados se inician como <em>root<\/em>, acceden a ellos y luego reducen sus privilegios con una cuenta espec\u00edfica. Con esos no hay problema en leer la clave privada por lo que no hay que hacer cambios.<\/p>\n<p>El problema aparece con programas como <a href=\"http:\/\/esferas.org\/msqlu\/2016\/04\/12\/qpsmtpd-como-frontal-para-mi-correo\/\">qpsmtpd<\/a> y aqu\u00ed es donde he llegado a una conclusi\u00f3n: merece la pena centrarse en el recurso m\u00e1s que en los usuarios.<\/p>\n<p>Aprovechando que el paquete <a href=\"https:\/\/packages.debian.org\/jessie\/ssl-cert\">ssl-certs<\/a> crea un grupo de sistema llamado <em>ssl-cert<\/em> para asignarlo a su contenido voy a analizar qu\u00e9 cuentas de sistema est\u00e1n siendo usadas por programas que necesitan acceso a los certificados y las a\u00f1adir\u00e9 a este grupo.<\/p>\n<p>De esta forma puedo limitar con precisi\u00f3n qui\u00e9n tiene acceso a las claves privadas y no necesito efectuar copias de los mismos para programas como <em>qpsmtpd<\/em>.<\/p>\n<pre class=\"lang:sh decode:true\">$ sudo chown -R root.ssl-cert \/etc\/letsencrypt.sh\/certs\r\n$ sudo chmod -R 0440 \/etc\/letsencrypt.sh\/certs<\/pre>\n<p>Ah, y que no se me olvide declarar el paquete <em>ssl-cert<\/em> como dependencia en mis paquetes Debian.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>.. que s\u00f3lo los consumen pero no los crean.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_import_markdown_pro_load_document_selector":0,"_import_markdown_pro_submit_text_textarea":"","webmentions_disabled_pings":false,"webmentions_disabled":false,"footnotes":""},"categories":[6],"tags":[553,557],"class_list":["post-1571","post","type-post","status-publish","format-standard","hentry","category-debian","tag-qpsmtpd","tag-ssl"],"_links":{"self":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/1571","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/comments?post=1571"}],"version-history":[{"count":0,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/1571\/revisions"}],"wp:attachment":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/media?parent=1571"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/categories?post=1571"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/tags?post=1571"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}