Kada istekne SSL certifikat web stranice, posjetitelji će vidjeti nezaštićeno upozorenje u svom pregledniku. Ovo ne samo da smanjuje povjerenje korisnika; WHMCS također stvara ozbiljne probleme za sustave plaćanja, API veze, panele igara i prijavu korisnika.

Let's Encrypt certifikati su besplatni, ali se moraju povremeno obnavljati. Ako Certbot nije ispravno konfiguriran, obnova neće uspjeti i SSL može isteći.

1. Provjera dostupnih certifikata

Prvo provjerite koji su certifikati prisutni na poslužitelju:

certbot certificates

Ova naredba prikazuje naziv certifikata, domene, staze datoteke i datum isteka.

Ako ne postoji naredba certbot, možda se neće instalirati:

certbot --version

2. Izvođenje testiranja osvježavanja

Za testiranje certifikata prije stvarnog obnavljanja:

certbot renew --dry-run

Ova naredba testira proces osvježavanja. Ako postoji pogreška, to vam omogućuje da vidite problem prije stvarnog dana obnove.

3. Najčešće pogreške Certbota

Većina Let's Encrypt pogrešaka obnove povezana je s provjerom valjanosti domene i pristupom web poslužitelju.

• Nevažeći odgovor: Let's Encrypt ne može pristupiti datoteci za potvrdu.
• Veza odbijena: Priključak 80 ili 443 može biti zatvoren.
• Istek vremena tijekom povezivanja: Domena možda nije usmjerena na poslužitelj ili je vatrozid možda blokira.
• Neovlašteno: Datoteka za potvrdu domene možda vraća netočan sadržaj.
• Previše certifikata: Pokušaji certifikacije su možda bili prečesti.

4. Provjera IP usmjeravanja domene

Da bi obnova certifikata radila, domena mora biti usmjerena na ispravnu IP adresu poslužitelja.

dig domainadi.com +short

Ako dig nije instaliran:

apt install dnsutils -y

Na sustavima koji se temelje na CentOS-u:

yum install bind-utils -y

IP koji vraća domena mora biti isti kao IP adresa poslužitelja na kojem će biti instaliran SSL.

5. Provjera portova 80 i 443

Let's Encrypt često želi pristupiti portu 80 za HTTP autentifikaciju. Ako je priključak 80 zatvoren, autentifikacija možda neće uspjeti.

ss -tulpn | grep -E ':80|:443'

Ako koristite vatrozid, provjerite jesu li portovi 80 i 443 otvoreni.

Za UFW:

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

Za Firewalld:

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

6. Testiranje Nginx ili Apache konfiguracije

Ako postoji pogreška u konfiguracijskoj datoteci web poslužitelja, web usluga se možda neće ponovno učitati nakon osvježavanja certbota.

Za Nginx:

nginx -t

Za Apache:

apachectl configtest

Ako nema grešaka, možete ponovno instalirati usluge:

systemctl reload nginx

ili:

systemctl reload apache2

7. Ručno obnavljanje SSL certifikata

Ako su sve provjere točne, možete ručno pokrenuti osvježavanje:

certbot renew

Primjer Nginx-a ako se samo trebate recertificirati za određenu domenu:

certbot --nginx -d domainadi.com -d www.domainadi.com

Primjer Apachea:

certbot --apache -d domainadi.com -d www.domainadi.com

8. Provjera planera automatskog osvježavanja

Certbot se obično automatski osvježava sa timerom systemd ili cron.

systemctl list-timers | grep certbot

Za provjeru statusa mjerača vremena:

systemctl status certbot.timer

Ako je tajmer isključen:

systemctl enable certbot.timer
systemctl start certbot.timer

Uobičajene greške

• Pokušavam dobiti SSL kada je IP adresa domene pogrešna
• Zatvorite priključak 80 i pričekajte da proradi HTTP autentifikacija
• Ne provjerava strukturu provjere autentičnosti kada je Cloudflare proxy uključen
• Miješajući pogrešku Nginx/Apache konfiguracije s greškom certbota
• Ne testira se automatska obnova dok SSL ne istekne

FAQ

Ako je SSL istekao, hoće li se stranica potpuno ugasiti?
Stranica možda tehnički radi, ali preglednik prikazuje sigurnosno upozorenje. To ozbiljno smanjuje povjerenje kupaca.

Zašto obnova Certbota ne uspijeva?
Obično je domena usmjerena na pogrešan IP, port 80/443 je zatvoren, konfiguracija web poslužitelja je netočna ili datoteci za potvrdu nije moguće pristupiti.

Je li obnova SSL-a problem kada koristite Cloudflare?
Neispravan SSL način ili konfiguracija proxyja mogu utjecati na postupak provjere. Sukladno tome treba odabrati način provjere domene.

Preporuke za sigurnost i rad

• Redovito provjeravajte datume isteka SSL-a.
• Povremeno pokrenite certbot renew --dry-run test.
• Ne zatvarajte portove 80 i 443 bez potrebe.
• Nakon promjene konfiguracije web poslužitelja, pokrenite nginx -t ili apachectl configtest.
• Nemojte zanemariti SSL nadzor na domenama koje koriste ploče za plaćanje i korisnike.

Ovaj članak je posebno pripremljen za PvPServer.