Letsencrypt Zertifikat wird von dovecot nicht gesehen

[Matthias Hanft]

Christoph Kukulies schrieb:
> 
> Warum also nimmt dovecot nicht die aktuellen, denn sie sind ja jeweils symbolisch verlinkt  mit f diejenigen in
> /etc/letsencrypt/live/domain.org/fullchain.pem <http://domain.org/fullchain.pem> 
> Hat dovecot die alte cert-Datei gelockt, so daß die von certbot eingespielte aktuelle nicht genommen wird?

Ja. Da muss man den Certbot mit "--deploy-hook myscript" aufrufen,
das nach einer erfolgreichen Zertifikatsverlängerung aufgerufen
wird und in dem man die betroffenen Dienste neu starten kann (oder
ggf. einen Config-Reload, falls der Dienst das unterstützt).

Bei mir sieht das z.B. so aus:

--- schnipp ---

#!/bin/bash

set -e

for domain in $RENEWED_DOMAINS; do
        case $domain in
        server.example.com)
                /etc/init.d/dovecot restart
                /etc/init.d/postfix restart
                cp /etc/letsencrypt/live/server.example.com/fullchain.pem /var/lib/mysql/server-cert.pem
                cp /etc/letsencrypt/live/server.example.com/privkey.pem /var/lib/mysql/server-key.pem
                chown mysql: /var/lib/mysql/*.pem
                chmod 600 /var/lib/mysql/*.pem
                mysql --user=reload --execute "ALTER INSTANCE RELOAD TLS"
                ;;
        esac
done

--- schnapp ---

Gruß Matthias.