Když vyprší platnost certifikátu SSL webové stránky, návštěvníkům se v prohlížeči zobrazí nezabezpečené varování. To nejen snižuje důvěru uživatelů; WHMCS také vytváří vážné problémy pro platební systémy, připojení API, herní panely a přihlašování zákazníků.

Certifikáty Let's Encrypt jsou zdarma, ale musí být pravidelně obnovovány. Pokud není Certbot správně nakonfigurován, obnovení se nezdaří a platnost SSL může vypršet.

1. Kontrola dostupných certifikátů

Nejprve zkontrolujte, jaké certifikáty jsou na serveru:

certbot certificates

Tento příkaz zobrazuje název certifikátu, domény, cesty k souborům a datum vypršení platnosti.

Pokud neexistuje žádný příkaz certbot, nemusí být nainstalován:

certbot --version

2. Provedení Obnovovacího testování

Chcete-li certifikát otestovat před jeho skutečným obnovením:

certbot renew --dry-run

Tento příkaz testuje proces aktualizace. Pokud dojde k chybě, umožní vám to vidět problém před skutečným dnem obnovení.

3. Nejčastější chyby Certbotu

Většina chyb obnovení Let's Encrypt souvisí s ověřením domény a přístupem k webovému serveru.

• Neplatná odpověď: Let's Encrypt nemá přístup k ověřovacímu souboru.
• Připojení odmítnuto: Port 80 nebo 443 může být uzavřen.
• Časový limit během připojení: Doména nemusí být přesměrována na server nebo ji může blokovat brána firewall.
• Neoprávněné: Ověřovací soubor domény může vracet nesprávný obsah.
• Příliš mnoho certifikátů: Pokusy o certifikát mohly být prováděny příliš často.

4. Kontrola směrování IP domény

Aby obnova certifikátu fungovala, musí být doména nasměrována na správnou IP adresu serveru.

dig domainadi.com +short

Pokud dig není nainstalován:

apt install dnsutils -y

Na systémech založených na CentOS:

yum install bind-utils -y

IP vrácená doménou musí být stejná jako IP adresa serveru, na který bude SSL nainstalováno.

5. Kontrola portů 80 a 443

Let's Encrypt chce často přistupovat k portu 80 pro ověřování HTTP. Pokud je port 80 uzavřen, může selhat ověření.

ss -tulpn | grep -E ':80|:443'

Pokud používáte bránu firewall, ujistěte se, že jsou otevřené porty 80 a 443.

Pro UFW:

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

Pro Firewall:

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

6. Testování Nginx nebo Apache Config

Pokud je v konfiguračním souboru webového serveru chyba, webová služba nemusí být po obnovení certbota znovu načtena.

Pro Nginx:

nginx -t

Pro Apache:

apachectl configtest

Pokud nejsou žádné chyby, můžete služby přeinstalovat:

systemctl reload nginx

nebo:

systemctl reload apache2

7. Ruční obnovení SSL certifikátu

Pokud jsou všechny kontroly správné, můžete aktualizaci spustit ručně:

certbot renew

Příklad Nginx, pokud potřebujete pouze recertifikaci pro konkrétní doménu:

certbot --nginx -d domainadi.com -d www.domainadi.com

Příklad Apache:

certbot --apache -d domainadi.com -d www.domainadi.com

8. Kontrola plánovače automatické obnovy

Certbot se obvykle automaticky obnovuje pomocí systemd timer nebo cron.

systemctl list-timers | grep certbot

Chcete-li zkontrolovat stav časovače:

systemctl status certbot.timer

Pokud je časovač vypnutý:

systemctl enable certbot.timer
systemctl start certbot.timer

Časté chyby

• Pokus o získání SSL, když je IP adresa domény nesprávná
• Zavřete port 80 a počkejte, až bude fungovat ověřování HTTP
• Nekontroluje se struktura ověřování, když je server Cloudflare proxy zapnutý
• Chyba konfigurace Nginx/Apache za chybu certbota
• Netestuje se automatické obnovení, dokud nevyprší platnost SSL

FAQ

Pokud platnost SSL vypršela, bude web zcela ukončen?
Stránka může technicky fungovat, ale prohlížeč zobrazuje bezpečnostní varování. To vážně snižuje důvěru zákazníků.

Proč se obnovení Certbotu nezdaří?
Obvykle je doména nasměrována na špatnou IP, port 80/443 je uzavřen, konfigurace webového serveru je nesprávná nebo ověřovací soubor není přístupný.

Je obnovení SSL problém při používání Cloudflare?
Nesprávný režim SSL nebo konfigurace proxy může ovlivnit proces ověření. Podle toho by měla být zvolena metoda ověření domény.

Bezpečnostní a provozní doporučení

• Pravidelně kontrolujte data vypršení platnosti SSL.
• Pravidelně spouštějte test certbot renew --dry-run.
• Porty 80 a 443 zbytečně neuzavírejte.
• Po změnách konfigurace webového serveru spusťte nginx -t nebo apachectl configtest.
• Nezanedbávejte monitorování SSL na doménách, které využívají platební a zákaznické panely.

Tento článek je speciálně připraven pro PvPServer.