<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Thu, 14 Sep 2017 at 17:26 Jason Cooper <<a href="mailto:cryptography@lakedaemon.net">cryptography@lakedaemon.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Robin,<br>
<br>
On Thu, Sep 14, 2017 at 01:30:28PM +0000, Robin Wood wrote:<br>
> On Wed, 13 Sep 2017 at 23:08 Jason Cooper <<a href="mailto:cryptography@lakedaemon.net" target="_blank">cryptography@lakedaemon.net</a>> wrote:<br>
> > It's extremely useful, with the caveat that certificates are only valid<br>
> > for 90 days (by design), and require admin privileges to install.<br>
> ><br>
> > To maximize it's usefulness, it's worth the time investment to set up a<br>
> > cron job to automatically renew the certs.  Note that this must run as<br>
> > root (admin).<br>
> ><br>
><br>
> Mine doesn't, it does everything as a low privilege user and then has sudo<br>
> privileges to restart apache.<br>
<br>
So the certificate and keys are readable and writable by this<br>
low-privilege user?<br></blockquote><div><br></div><div><span style="font-size:13px">The CSR is readable, the certificate read/writable, it doesn't need access to the private key.</span><br></div><div><span style="font-size:13px"><br></span></div><div><span style="font-size:13px">I could make the certificate write only but allowed it to be read so I could check how long it had left before it expired so I could trigger a renewal in the last 7 days of its life. I could work around this but didn't see the need.</span></div><div><span style="font-size:13px"><br></span></div><div><span style="font-size:13px">Robin</span></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
thx,<br>
<br>
Jason.<br>
</blockquote></div></div>