<div dir="ltr"><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jun 9, 2020 at 12:23 PM Hal Murray <<a href="mailto:hmurray@megapathdsl.net">hmurray@megapathdsl.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> Which causes ntpd to fail on startup (I assume after dropping root):<br>
<br>
Looks like you are dying trying to read the certificate.  It will get worse <br>
when you want to read the key.<br>
<br>
--------------<br>
<br>
Do you trust user ntp?  If so, the fix is to change ownership.  I copy the <br>
cert and key over to /etc/ntp/ and change to user ntp:ntp<br></blockquote><div><br></div><div>I trust user ntp , it is the only user on this system, but this is a special case :-)<br></div><div><br></div><div>But then I lose the automatic rotation :-(<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

If not, things get complicated.  The current code will reload the certificate <br>
if it is updated.  Are you willing to give that up?  <br></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">If so, we can add an <br>
option to read the certificate before dropping root and disable trying to <br>
reload.  That probably won't work with early drop root.<br></blockquote><div><br></div><div>No, I want it reloaded, as LE has short-life Certs.<br></div><div> </div>I can handle my case (NTPsec is rebuilt often, and the build command I use can copy over the Cert), but what is the general case we should handle?</div><div class="gmail_quote"><br></div><div class="gmail_quote">I would like to use LE.  Issue LE certs specifically for NTP?  But then how is this going to be validated (NTP has no web server, and no hooks to run certbot).<br></div><div class="gmail_quote"><br></div><div class="gmail_quote">I thought with Open Source I could get anything I wanted, for free, and NOW!  At least that is what ESR promised me in his CATB book (the way I recall it).  :-) <br></div><div class="gmail_quote"><br></div><div class="gmail_quote"> --</div><div class="gmail_quote">Sanjeev<br></div></div>