Кога ќе истече SSL сертификатот на веб-локацијата, посетителите ќе видат необезбедено предупредување во нивниот прелистувач. Ова не само што ја намалува довербата на корисниците; WHMCS, исто така, создава сериозни проблеми за платните системи, поврзувањата на API, панелите за игри и најавувањата на клиентите.

Let's Encrypt сертификатите се бесплатни, но мора периодично да се обновуваат. Ако Certbot не е правилно конфигуриран, обновувањето ќе пропадне и SSL може да истече.

1. Проверка на достапните сертификати

Прво проверете кои сертификати се присутни на серверот:

certbot certificates

Оваа команда ги прикажува името на сертификатот, домените, патеките на датотеката и датумот на истекување.

Ако нема команда certbot, можеби нема да се инсталира:

certbot --version

2. Изведување на тестирање за освежување

За да го тестирате сертификатот пред да го обновите:

certbot renew --dry-run

Оваа команда го тестира процесот на освежување. Ако има грешка, тоа ви овозможува да го видите проблемот пред вистинскиот ден за обновување.

3. Најчести грешки во Certbot

Повеќето грешки при обновување на Let's Encrypt се поврзани со валидација на домен и пристап до веб-сервер.

• Неважечки одговор: Let's Encrypt не може да пристапи до датотеката за потврда.
• Врската е одбиена: Портата 80 или 443 може да биде затворена.
• Истекување на времето за време на поврзувањето: Можеби доменот не е насочен кон серверот или заштитниот ѕид може да го блокира.
• Неовластено: Датотеката за верификација на доменот може да враќа неточна содржина.
• Премногу сертификати: Можеби премногу често се правеле обиди за сертификат.

4. Проверка на рутирање на IP домен

За да функционира обновувањето на сертификатот, доменот мора да биде насочен кон точната IP адреса на серверот.

dig domainadi.com +short

Ако копањето не е инсталирано:

apt install dnsutils -y

На системи базирани на CentOS:

yum install bind-utils -y

IP адресата што ја враќа доменот мора да биде иста со IP адресата на серверот на кој ќе се инсталира SSL.

5. Проверка на портите 80 и 443

Let's Encrypt често сака да пристапи до портата 80 за HTTP автентикација. Ако портата 80 е затворена, автентикацијата може да не успее.

ss -tulpn | grep -E ':80|:443'

Ако користите заштитен ѕид, проверете дали портите 80 и 443 се отворени.

За UFW:

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

За Firewalld:

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

6. Тестирање за конфигурација на Nginx или Apache

Ако има грешка во конфигурациската датотека на веб-серверот, веб-услугата може да не се вчита повторно по освежувањето на certbot.

За Nginx:

nginx -t

За Apache:

apachectl configtest

Ако нема грешки, можете повторно да ги инсталирате услугите:

systemctl reload nginx

или:

systemctl reload apache2

7. Рачно обновување на SSL сертификат

Ако сите проверки се точни, можете рачно да го извршите освежувањето:

certbot renew

Nginx пример ако треба само да се потврди повторно за одреден домен:

certbot --nginx -d domainadi.com -d www.domainadi.com

Апачи пример:

certbot --apache -d domainadi.com -d www.domainadi.com

8. Проверка на Распоредувачот за автоматско освежување

Certbot обично автоматски се освежува со системски тајмер или cron.

systemctl list-timers | grep certbot

За да го проверите статусот на тајмерот:

systemctl status certbot.timer

Ако тајмерот е исклучен:

systemctl enable certbot.timer
systemctl start certbot.timer

Вообичаени грешки

• Се обидуваме да добиеме SSL кога IP адресата на доменот е погрешна
• Затворете ја портата 80 и почекајте да работи HTTP автентикацијата
• Не се проверува структурата за автентикација кога е вклучен Cloudflare прокси
• Погрешна грешка во конфигурацијата Nginx/Apache за грешка на certbot
• Не се тестира автоматско обновување додека не истече SSL

Најчесто поставувани прашања

Ако SSL е истечен, дали страницата целосно ќе се исклучи?
Веб-страницата може технички да работи, но прелистувачот покажува безбедносно предупредување. Ова сериозно ја намалува довербата на клиентите.

Зошто не успее обновувањето на Certbot?
Обично доменот е насочен кон погрешна IP адреса, портата 80/443 е затворена, конфигурацијата на веб-серверот е неточна или датотеката за верификација не е достапна.

Дали е проблем обновувањето на SSL кога користите Cloudflare?
Неточниот режим на SSL или конфигурацијата на прокси може да влијае на процесот на верификација. Методот за проверка на доменот треба да се избере соодветно.

Препораки за безбедност и операции

• Редовно проверувајте ги датумите на истекување на SSL.
• Периодично извршувајте го тестот за обновување на certbot --dry-run.
• Не ги затворајте портите 80 и 443 непотребно.
• Откако ќе се промени конфигурацијата на веб-серверот, извршете го nginx -t или apachectl configtest.
• Не го занемарувајте следењето на SSL на домени кои користат панели за плаќање и клиенти.

Оваа статија е специјално подготвена за PvPServer.