Når et nettsteds SSL-sertifikat utløper, vil besøkende se en usikret advarsel i nettleseren. Dette reduserer ikke bare brukertilliten; WHMCS skaper også alvorlige problemer for betalingssystemer, API-tilkoblinger, spillpaneler og kundepålogginger.

Let's Encrypt-sertifikater er gratis, men må fornyes med jevne mellomrom. Hvis Certbot ikke er riktig konfigurert, vil fornyelsen mislykkes og SSL kan utløpe.

1. Sjekke tilgjengelige sertifikater

Sjekk først hvilke sertifikater som finnes på serveren:

certbot certificates

Denne kommandoen viser sertifikatnavn, domener, filstier og utløpsdato.

Hvis det ikke er noen certbot-kommando, kan det hende at den ikke er installert:

certbot --version

2. Utføre oppdateringstesting

For å teste sertifikatet før du faktisk fornyer det:

certbot renew --dry-run

Denne kommandoen tester oppdateringsprosessen. Hvis det er en feil, lar den deg se problemet før selve fornyelsesdagen.

3. De vanligste Certbot-feilene

De fleste Let's Encrypt-fornyelsesfeil er relatert til domenevalidering og nettservertilgang.

• Ugyldig svar: Let's Encrypt får ikke tilgang til bekreftelsesfilen.
• Tilkobling nektet: Port 80 eller 443 kan være stengt.
• Tidsavbrudd under tilkobling: Domenet er kanskje ikke dirigert til serveren eller brannmuren blokkerer det.
• Uautorisert: Domenebekreftelsesfilen kan returnere feil innhold.
• For mange sertifikater: Sertifikatforsøk kan ha blitt gjort for ofte.

4. Sjekke domene IP-ruting

For at sertifikatfornyelse skal fungere, må domenet rettes til riktig server-IP-adresse.

dig domainadi.com +short

Hvis graven ikke er installert:

apt install dnsutils -y

På CentOS-baserte systemer:

yum install bind-utils -y

IP-adressen som returneres av domenet må være den samme som IP-adressen til serveren som SSL skal installeres på.

5. Kontroller portene 80 og 443

Let's Encrypt ønsker ofte å få tilgang til port 80 for HTTP-autentisering. Hvis port 80 er lukket, kan autentisering mislykkes.

ss -tulpn | grep -E ':80|:443'

Hvis du bruker en brannmur, sørg for at portene 80 og 443 er åpne.

For UFW:

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

For brannmur:

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

6. Nginx- eller Apache-konfigurasjonstesting

Hvis det er en feil i webserverens konfigurasjonsfil, kan det hende at webtjenesten ikke lastes inn på nytt etter certbot-oppdateringen.

For Nginx:

nginx -t

For Apache:

apachectl configtest

Hvis det ikke er noen feil, kan du installere tjenestene på nytt:

systemctl reload nginx

eller:

systemctl reload apache2

7. Manuell fornyelse av SSL-sertifikat

Hvis alle sjekker er riktige, kan du kjøre oppdateringen manuelt:

certbot renew

Nginx eksempel hvis du bare trenger å resertifisere for et spesifikt domene:

certbot --nginx -d domainadi.com -d www.domainadi.com

Apache eksempel:

certbot --apache -d domainadi.com -d www.domainadi.com

8. Sjekke Auto Refresh Scheduler

Certbot oppdateres vanligvis automatisk med systemd timer eller cron.

systemctl list-timers | grep certbot

For å sjekke timerstatus:

systemctl status certbot.timer

Hvis timeren er av:

systemctl enable certbot.timer
systemctl start certbot.timer

Vanlige feil

• Prøver å få SSL når domenets IP-adresse er feil
• Lukk port 80 og vent på at HTTP-autentisering skal fungere
• Sjekker ikke autentiseringsstruktur når Cloudflare-proxy er på
• Mistaking av Nginx/Apache-konfigurasjonsfeil for certbot-feil
• Tester ikke automatisk fornyelse før SSL utløper

FAQ

Hvis SSL har utløpt, vil siden stenges helt?
Siden fungerer teknisk sett, men nettleseren viser en sikkerhetsadvarsel. Dette reduserer kundenes tillit betydelig.

Hvorfor mislykkes Certbot fornyelse?
Vanligvis blir domenet rettet til feil IP, 80/443-porten er stengt, nettserverkonfigurasjonen er feil, eller bekreftelsesfilen er ikke tilgjengelig.

Er SSL-fornyelse et problem når du bruker Cloudflare?
Feil SSL-modus eller proxy-konfigurasjon kan påvirke bekreftelsesprosessen. Domenebekreftelsesmetode bør velges deretter.

Sikkerhets- og driftsanbefalinger

• Sjekk utløpsdatoene for SSL regelmessig.
• Kjør certbot renew --dry-run test med jevne mellomrom.
• Ikke lukk portene 80 og 443 unødvendig.
• Etter endring av webserverkonfigurasjon, kjør nginx -t eller apachectl configtest.
• Ikke overse SSL-overvåking på domener som bruker betalings- og kundepaneler.

Denne artikkelen er spesielt utarbeidet for PvPServer.