> IMXO, вообще ей нечего делать на хосте с BIND-ом. Я имел в
> виду, не давать ей прав модифицировать зону example.com, а только _acme-challenge.example.com.И я это имел в виду. Делать только то, под что заточен скрипт в каталоге ~/bin на стороне BIND-а, запускаемый acmetool-ом на стороне postfix-а, при обработке соответствующего хука - challenge-dns-start или challenge-dns-stop.
И поскольку шел и судо на стороне BIND-а ограничены, то ничего более под этой учеткой, авторизуемой по ключу, сделать не получится.
> Змечательно. Имейте в виду:
> - Если зона _acme-challenge.example.com живёт хосте с Postfix-ом, то её будет технически
> проще курочить из обновлялки, но будут сложности если кому-то кроме Postfix-а
> потребуются сертификаты Let's Encrypt.
> - Если зона _acme-challenge.example.com живёт хосте с BIND-ом, то придётся повозиться с
> её динамическим обновлением с Postfix-а, по nsupdate или обёрткой вокруг SSH,
> но решение будет масштабируемо на большее количесво сервисов с Let's Encrypt
> на домене example.com.
Предпочтительней безусловно второй вариант. Но!
Как оказалось, хостинг-панель plesk не дает (штатно) сделать зону (никакую) динамической. Только мастер/слейв.
Попробую поискать или как сделать динамическую зону, или еще вариант.
Шел мне не нравится массой условностей. Потом что-то где-то забудешь, и будет дыра.
Мастер/слейв оставлю как запасной вариант.