När en webbplatss SSL-certifikat löper ut kommer besökarna att se en osäkrad varning i sin webbläsare. Detta minskar inte bara användarnas förtroende; WHMCS skapar också allvarliga problem för betalningssystem, API-anslutningar, spelpaneler och kundinloggningar.

Let's Encrypt-certifikat är gratis men måste förnyas med jämna mellanrum. Om Certbot inte är korrekt konfigurerad kommer förnyelsen att misslyckas och SSL kan upphöra.

1. Kontrollera tillgängliga certifikat

Kontrollera först vilka certifikat som finns på servern:

certbot certificates

Detta kommando visar certifikatets namn, domäner, filsökvägar och utgångsdatum.

Om det inte finns något certbot-kommando kanske det inte är installerat:

certbot --version

2. Utföra uppdateringstest

Så här testar du certifikatet innan du faktiskt förnyar det:

certbot renew --dry-run

Detta kommando testar uppdateringsprocessen. Om det finns ett fel kan du se problemet innan den faktiska förnyelsedagen.

3. De vanligaste Certbot-felen

De flesta Let's Encrypt-förnyelsefel är relaterade till domänvalidering och webbserveråtkomst.

• Ogiltigt svar: Let's Encrypt kan inte komma åt verifieringsfilen.
• Anslutning nekad: Port 80 eller 443 kan vara stängd.
• Timeout under anslutning: Domänen kanske inte är riktad till servern eller så kan brandväggen blockera den.
• Obehörig: Domänverifieringsfilen kan returnera felaktigt innehåll.
• För många certifikat: Certifikatförsök kan ha gjorts för ofta.

4. Kontrollera IP-routing för domän

För att certifikatförnyelse ska fungera måste domänen dirigeras till rätt server-IP-adress.

dig domainadi.com +short

Om gräv inte är installerat:

apt install dnsutils -y

På CentOS-baserade system:

yum install bind-utils -y

IP-adressen som returneras av domänen måste vara densamma som IP-adressen för servern som SSL kommer att installeras på.

5. Kontrollera portar 80 och 443

Let's Encrypt vill ofta komma åt port 80 för HTTP-autentisering. Om port 80 är stängd kan autentiseringen misslyckas.

ss -tulpn | grep -E ':80|:443'

Om du använder en brandvägg, se till att portarna 80 och 443 är öppna.

För UFW:

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

För brandvägg:

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

6. Nginx eller Apache Config Testing

Om det finns ett fel i webbserverns konfigurationsfil kan det hända att webbtjänsten inte laddas om efter certbot-uppdateringen.

För Nginx:

nginx -t

För Apache:

apachectl configtest

Om det inte finns några fel kan du installera om tjänsterna:

systemctl reload nginx

eller:

systemctl reload apache2

7. Manuell förnyelse av SSL-certifikat

Om alla kontroller är korrekta kan du köra uppdateringen manuellt:

certbot renew

Nginx exempel om du bara behöver omcertifiera för en specifik domän:

certbot --nginx -d domainadi.com -d www.domainadi.com

Apache exempel:

certbot --apache -d domainadi.com -d www.domainadi.com

8. Kontrollera Auto Refresh Scheduler

Certbot uppdateras vanligtvis automatiskt med systemd timer eller cron.

systemctl list-timers | grep certbot

Så här kontrollerar du timerstatus:

systemctl status certbot.timer

Om timern är avstängd:

systemctl enable certbot.timer
systemctl start certbot.timer

Vanliga misstag

• Försöker få SSL när domänens IP-adress är fel
• Stäng port 80 och vänta på att HTTP-autentisering ska fungera
• Kontrollerar inte autentiseringsstrukturen när Cloudflare-proxy är på
• Misstag Nginx/Apache-konfigurationsfel för certbot-fel
• Testar inte automatisk förnyelse förrän SSL löper ut

FAQ

Om SSL har gått ut, kommer webbplatsen att stängas av helt?
Webbplatsen kan tekniskt fungera, men webbläsaren visar en säkerhetsvarning. Detta minskar avsevärt kundernas förtroende.

Varför misslyckas Certbot förnyelse?
Vanligtvis riktas domänen till fel IP, 80/443-porten är stängd, webbserverns konfiguration är felaktig eller verifieringsfilen är inte tillgänglig.

Är SSL-förnyelse ett problem när du använder Cloudflare?
Felaktig SSL-läge eller proxykonfiguration kan påverka verifieringsprocessen. Metod för domänverifiering bör väljas i enlighet med detta.

Säkerhets- och driftsrekommendationer

• Kontrollera SSL utgångsdatum regelbundet.
• Kör certbot renew --dry-run test med jämna mellanrum.
• Stäng inte portarna 80 och 443 i onödan.
• Efter ändringar av webbserverns konfiguration, kör nginx -t eller apachectl configtest.
• Försumma inte SSL-övervakning på domäner som använder betalnings- och kundpaneler.

Den här artikeln är speciellt förberedd för PvPServer.