我有一个以非 root 用户身份运行的服务(ejabberd,尽管这个问题并非特定于 ejabberd)。我希望它使用 letsencrypt 提供的证书。
理想情况下,我希望 letsencrypt 将证书放入/更新到服务的配置目录中。我还没能找到这样做的方法;有一个 --cert-path 选项,但它要么不起作用,要么没有按照我的想法去做。
或者,我可以调整 /etc/letsencrypt 上的权限;如果这是我唯一的选择,那么最低必要的权限是什么?我不希望为此目的设立一个 letsencrypt 组,因为我可能有多个服务,它们不应该访问彼此的密钥。但是目录结构使得只给用户一个密钥集的访问权限很尴尬。