Zuerst Sie In der Regel sollte nicht dasselbe Zertifikat für den Web- und Mail-Server verwendet werden. Die Grundeinstellung ist, dass der Webserver ein Zertifikat für www.whatever.com mit whatevery.com als alternativen Namen (oder vielleicht umgekehrt) haben sollte, und der Mailserver wird ein Zertifikat für etwas wie mail.whatever.com haben, oder was auch immer der Hostname ist. Beachten Sie, dass das Cert des Mail-Servers für seinen Hostnamen nicht die Domäne sein muss, für die es dient. Es ist völlig normal, einen Mail-Server zu haben, der sich nicht einmal unter derselben Top-Level-Domain befindet wie die Domain, für die er verwendet wird - wenn im DNS ein MX-Eintrag steht, der besagt, dass Mail für wasing.com zu someserver.isp gehen soll. net, das ist völlig normal, und der Mail-Server benötigt ein Zertifikat für einigeserver.isp.net, nicht whatever.com.
Zweitens scheint es, als ob Sie versuchen, dies zu automatisieren. Wenn Sie dasselbe Zertifikat auf mehreren Computern benötigen, sollten Sie es im Allgemeinen manuell zwischen den Servern kopieren (z. B. scp
zwischen nicht privilegierten Konten) und es dann manuell auf jedem Server installieren. Auf der anderen Seite, wenn Sie ein automatisiertes cert Erzeugungssystem wie letsencrypt ‚s verwenden, sind Sie wahrscheinlich besser dran, auf jedem Server unabhängig certs zu erzeugen.
Es besteht ein erhebliches Sicherheitsrisiko bei der automatischen Erhöhung von Berechtigungen, wie z. B. die Ausführung von rsync
als Root über sudo. Wenn Sie nicht sehr vorsichtig sind, könnte jeder, der Zugang zum System hat, dies z. Modifizieren Sie jede gewünschte Datei (einschließlich/etc/sudoers) einfach mit rsync! In ähnlicher Weise bedeutet das Zulassen, dass ein Server als Root in einen anderen remote geschaltet wird, dass jeder, der einen Server übernehmen kann, automatisch die volle Kontrolle über den anderen Server erhält. Das ist gefährlich! Tun Sie es nicht, wenn Sie wirklich brauchen, um, und in diesem Fall brauchen Sie wirklich, wirklich genau zu verstehen, was du tust.
Da ich nur 1 IP-Adresse und Router Portweiterleitung tat dann auf der Grundlage Ihrer Antwort, die ich denke, ich werde ein Skript machen, die automatisch läßt encyrpt certbot hilft, die SSL-Erneuerung machen (die gewünschte Datei Homepage Eigentum bestätigen machen). die rsync sudo Privilegien zu geben ist ein Sicherheitsrisiko, das ich kannte, aber ich dachte, dass es einen Weg geben könnte, seine Erneuerung sicher zu automatisieren. – kookon