Let's encrypt の設定が完了した。
mail.example.com
みたいなのふたつの証明書を取得し、
cronに更新スクリプトを書いておいた。
普通のcertbot-autoを呼ぶけど、
その前にファイアーウォールが閉じている(DENY)とき
ファイアーウォールでポート80/tcpを開放(ALLOW)する処理と
httpdが上がっていないときはlighttpd を起動する処理を入れた。
また、失効が怖いので、毎日起動はするが証明書の残期限が28日以上あるときはcertbot-autoすら呼ばないで終了するようにした。
現状運用中のhttpdは無いため、処理が完了したときはファイヤーウォールをDENYに再設定してlighttpd は stopするようにしている。
いずれサービスを開始した時点でこの無効化に関する処理は取り除けばよいかと思う。
さて、次はpostfix の設定をしようかと思う。