Amikor egy webhely SSL-tanúsítványa lejár, a látogatók nem biztonságos figyelmeztetést fognak látni a böngészőjükben. Ez nem csak a felhasználói bizalmat csökkenti; A WHMCS komoly problémákat okoz a fizetési rendszerekben, az API-kapcsolatokban, a játékpanelekben és az ügyfelek bejelentkezésében is.

A Let's Encrypt tanúsítványok ingyenesek, de rendszeresen meg kell újítani. Ha a Certbot nincs megfelelően konfigurálva, a megújítás sikertelen lesz, és az SSL lejárhat.

1. Az elérhető tanúsítványok ellenőrzése

Először ellenőrizze, hogy milyen tanúsítványok vannak a szerveren:

certbot certificates

Ez a parancs megjeleníti a tanúsítvány nevét, a tartományokat, a fájl elérési útját és a lejárati dátumot.

Ha nincs certbot parancs, előfordulhat, hogy nincs telepítve:

certbot --version

2. Frissítési teszt végrehajtása

A tanúsítvány tesztelése a tényleges megújítás előtt:

certbot renew --dry-run

Ez a parancs teszteli a frissítési folyamatot. Hiba esetén lehetővé teszi a probléma megtekintését a tényleges megújítási nap előtt.

3. A leggyakoribb Certbot hibák

A legtöbb Let's Encrypt megújítási hiba a tartományellenőrzéssel és a webszerver-hozzáféréssel kapcsolatos.

• Érvénytelen válasz: A Let's Encrypt nem fér hozzá az ellenőrző fájlhoz.
• Csatlakozás elutasítva: A 80-as vagy 443-as port zárva lehet.
• Időtúllépés csatlakozás közben: Előfordulhat, hogy a tartomány nem a kiszolgálóhoz van irányítva, vagy a tűzfal blokkolja azt.
• Jogosulatlan: Lehet, hogy a domain-ellenőrző fájl helytelen tartalmat ad vissza.
• Túl sok tanúsítvány: Lehetséges, hogy túl gyakran próbálták meg a tanúsítványt.

4. Domain IP Routing ellenőrzése

A tanúsítvány megújításának működéséhez a tartományt a megfelelő szerver IP-címére kell irányítani.

dig domainadi.com +short

Ha a dig nincs telepítve:

apt install dnsutils -y

CentOS-alapú rendszereken:

yum install bind-utils -y

A tartomány által visszaadott IP-címnek meg kell egyeznie annak a szervernek az IP-címével, amelyre az SSL-t telepíteni fogják.

5. A 80-as és 443-as portok ellenőrzése

A Let's Encrypt gyakran szeretne hozzáférni a 80-as porthoz HTTP-hitelesítés céljából. Ha a 80-as port zárva van, a hitelesítés sikertelen lehet.

ss -tulpn | grep -E ':80|:443'

Ha tűzfalat használ, győződjön meg arról, hogy a 80-as és a 443-as port nyitva van.

UFW esetén:

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

Tűzfal esetén:

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

6. Nginx vagy Apache konfigurációtesztelés

Ha hiba van a webszerver konfigurációs fájljában, előfordulhat, hogy a webszolgáltatás nem töltődik be újra a certbot frissítése után.

Nginx esetén:

nginx -t

Apache esetén:

apachectl configtest

Ha nincs hiba, újratelepítheti a szolgáltatásokat:

systemctl reload nginx

vagy:

systemctl reload apache2

7. SSL-tanúsítvány kézi megújítása

Ha minden ellenőrzés helyes, manuálisan futtathatja a frissítést:

certbot renew

Példa az Nginxre, ha csak egy adott domainhez kell újratanúsítania:

certbot --nginx -d domainadi.com -d www.domainadi.com

Apache példa:

certbot --apache -d domainadi.com -d www.domainadi.com

8. Az automatikus frissítés ütemezőjének ellenőrzése

A Certbot általában automatikusan frissít a systemd időzítővel vagy cronnal.

systemctl list-timers | grep certbot

Az időzítő állapotának ellenőrzéséhez:

systemctl status certbot.timer

Ha az időzítő ki van kapcsolva:

systemctl enable certbot.timer
systemctl start certbot.timer

Gyakori hibák

• SSL-t próbálok elérni, ha a domain IP-címe rossz
• Zárja be a 80-as portot, és várja meg, amíg a HTTP hitelesítés működik
• Nem ellenőrzi a hitelesítési struktúrát, amikor a Cloudflare proxy be van kapcsolva
• Nginx/Apache konfigurációs hiba a certbot hibához
• Nem teszteli az automatikus megújítást, amíg az SSL le nem jár

GYIK

Ha az SSL lejárt, teljesen leáll a webhely?
Az oldal technikailag működhet, de a böngésző biztonsági figyelmeztetést jelenít meg. Ez jelentősen csökkenti az ügyfelek bizalmát.

Miért nem sikerül a Certbot megújítása?
Általában a tartomány rossz IP-címre van irányítva, a 80/443-as port le van zárva, a webszerver konfigurációja nem megfelelő, vagy az ellenőrző fájl nem érhető el.

Problémát jelent az SSL megújítása a Cloudflare használatakor?
A helytelen SSL-mód vagy proxykonfiguráció befolyásolhatja az ellenőrzési folyamatot. A domain-ellenőrzési módszert ennek megfelelően kell kiválasztani.

Biztonsági és üzemeltetési ajánlások

• Rendszeresen ellenőrizze az SSL lejárati dátumát.
• Futtassa rendszeresen a certbot renew --dry-run tesztet.
• Ne zárja be szükségtelenül a 80-as és 443-as portokat.
• A webszerver konfigurációjának módosítása után futtassa az nginx -t vagy az apachectl configtest parancsot.
• Ne hagyja figyelmen kívül az SSL-figyelést a fizetési és ügyfélpaneleket használó domaineken.

Ez a cikk kifejezetten a PvPServer számára készült.