Når et websteds SSL-certifikat udløber, vil besøgende se en usikret advarsel i deres browser. Dette reducerer ikke kun brugertilliden; WHMCS skaber også alvorlige problemer for betalingssystemer, API-forbindelser, spilpaneler og kundelogin.

Let's Encrypt-certifikater er gratis, men skal fornyes med jævne mellemrum. Hvis Certbot ikke er konfigureret korrekt, vil fornyelsen mislykkes, og SSL kan udløbe.

1. Kontrol af tilgængelige certifikater

Tjek først hvilke certifikater der findes på serveren:

certbot certificates

Denne kommando viser certifikatets navn, domæner, filstier og udløbsdato.

Hvis der ikke er nogen certbot-kommando, er den muligvis ikke installeret:

certbot --version

2. Udførelse af opdateringstest

For at teste certifikatet, før du rent faktisk fornyer det:

certbot renew --dry-run

Denne kommando tester opdateringsprocessen. Hvis der er en fejl, giver det dig mulighed for at se problemet inden selve fornyelsesdagen.

3. Mest almindelige Certbot-fejl

De fleste Let's Encrypt-fornyelsesfejl er relateret til domænevalidering og webserveradgang.

• Ugyldigt svar: Let's Encrypt kan ikke få adgang til bekræftelsesfilen.
• Forbindelse nægtet: Port 80 eller 443 kan være lukket.
• Timeout under tilslutning: Domænet er muligvis ikke dirigeret til serveren, eller firewallen blokerer det muligvis.
• Uautoriseret: Domænebekræftelsesfilen returnerer muligvis forkert indhold.
• For mange certifikater: Certifikatforsøg kan have været gjort for ofte.

4. Kontrol af domæne IP-routing

For at certifikatfornyelse skal virke, skal domænet dirigeres til den korrekte server-IP-adresse.

dig domainadi.com +short

Hvis grave ikke er installeret:

apt install dnsutils -y

På CentOS-baserede systemer:

yum install bind-utils -y

IP-adressen, der returneres af domænet, skal være den samme som IP-adressen på den server, som SSL vil blive installeret på.

5. Kontrol af porte 80 og 443

Let's Encrypt ønsker ofte at få adgang til port 80 til HTTP-godkendelse. Hvis port 80 er lukket, kan godkendelsen mislykkes.

ss -tulpn | grep -E ':80|:443'

Hvis du bruger en firewall, skal du sørge for, at porte 80 og 443 er åbne.

For UFW:

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

Til Firewalld:

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

6. Nginx eller Apache Config Test

Hvis der er en fejl i webserverens konfigurationsfil, genindlæses webservicen muligvis ikke efter certbot-opdateringen.

Til Nginx:

nginx -t

Til Apache:

apachectl configtest

Hvis der ikke er nogen fejl, kan du geninstallere tjenesterne:

systemctl reload nginx

eller:

systemctl reload apache2

7. Manuel fornyelse af SSL-certifikat

Hvis alle kontroller er korrekte, kan du køre opdateringen manuelt:

certbot renew

Nginx eksempel, hvis du kun skal gencertificere for et specifikt domæne:

certbot --nginx -d domainadi.com -d www.domainadi.com

Apache eksempel:

certbot --apache -d domainadi.com -d www.domainadi.com

8. Kontrol af Auto Refresh Scheduler

Certbot opdateres normalt automatisk med systemd timer eller cron.

systemctl list-timers | grep certbot

Sådan tjekker du timerstatus:

systemctl status certbot.timer

Hvis timeren er slukket:

systemctl enable certbot.timer
systemctl start certbot.timer

Almindelige fejl

• Forsøger at få SSL, når domænets IP-adresse er forkert
• Luk port 80, og vent på, at HTTP-godkendelse virker
• Kontrollerer ikke godkendelsesstruktur, når Cloudflare-proxy er slået til
• Forkert Nginx/Apache-konfigurationsfejl for certbot-fejl
• Tester ikke automatisk fornyelse, før SSL udløber

FAQ

Hvis SSL er udløbet, vil siden så lukkes helt ned?
Siden fungerer muligvis teknisk, men browseren viser en sikkerhedsadvarsel. Dette reducerer kundernes tillid alvorligt.

Hvorfor mislykkes Certbot-fornyelse?
Normalt er domænet dirigeret til den forkerte IP, 80/443-porten er lukket, webserverens konfiguration er forkert, eller verifikationsfilen er ikke tilgængelig.

Er SSL-fornyelse et problem, når du bruger Cloudflare?
Forkert SSL-tilstand eller proxy-konfiguration kan påvirke bekræftelsesprocessen. Domænebekræftelsesmetoden bør vælges i overensstemmelse hermed.

Sikkerheds- og driftsanbefalinger

• Tjek SSL udløbsdatoer regelmæssigt.
• Kør certbot renew --dry-run test med jævne mellemrum.
• Luk ikke porte 80 og 443 unødigt.
• Efter webserverkonfigurationsændringer, kør nginx -t eller apachectl configtest.
• Forsøm ikke SSL-overvågning på domæner, der bruger betalings- og kundepaneler.

Denne artikel er specielt forberedt til PvPServer.