Wanneer het SSL-certificaat van een website verloopt, zien bezoekers een onbeveiligde waarschuwing in hun browser. Dit vermindert niet alleen het vertrouwen van de gebruiker; WHMCS zorgt ook voor ernstige problemen voor betalingssystemen, API-verbindingen, spelpanelen en klantlogins.

Let's Encrypt-certificaten zijn gratis, maar moeten periodiek worden vernieuwd. Als Certbot niet correct is geconfigureerd, mislukt de verlenging en kan de SSL verlopen.

1. Beschikbare certificaten controleren

Controleer eerst welke certificaten aanwezig zijn op de server:

certbot certificates

Met deze opdracht worden de certificaatnaam, domeinen, bestandspaden en vervaldatum weergegeven.

Als er geen certbot-opdracht is, wordt deze mogelijk niet geïnstalleerd:

certbot --version

2. Vernieuwingstests uitvoeren

Om het certificaat te testen voordat u het daadwerkelijk vernieuwt:

certbot renew --dry-run

Met deze opdracht wordt het vernieuwingsproces getest. Als er een fout optreedt, kunt u het probleem vóór de daadwerkelijke verlengingsdag zien.

3. Meest voorkomende Certbot-fouten

De meeste Let's Encrypt-vernieuwingsfouten hebben betrekking op domeinvalidatie en webservertoegang.

• Ongeldig antwoord: Let's Encrypt heeft geen toegang tot het verificatiebestand.
• Verbinding geweigerd: Poort 80 of 443 is mogelijk gesloten.
• Time-out tijdens verbinding: Het domein is mogelijk niet doorverwezen naar de server of de firewall blokkeert het domein.
• Ongeautoriseerd: Het domeinverificatiebestand retourneert mogelijk onjuiste inhoud.
• Te veel certificaten: Er zijn mogelijk te vaak certificaatpogingen gedaan.

4. Domein-IP-routering controleren

Om de certificaatvernieuwing te laten werken, moet het domein naar het juiste server-IP-adres worden geleid.

dig domainadi.com +short

Als de dig niet is geïnstalleerd:

apt install dnsutils -y

Op CentOS-gebaseerde systemen:

yum install bind-utils -y

Het door het domein geretourneerde IP-adres moet hetzelfde zijn als het IP-adres van de server waarop SSL wordt geïnstalleerd.

5. Poorten 80 en 443 controleren

Let's Encrypt wil vaak toegang krijgen tot poort 80 voor HTTP-authenticatie. Als poort 80 gesloten is, mislukt de authenticatie mogelijk.

ss -tulpn | grep -E ':80|:443'

Als u een firewall gebruikt, zorg er dan voor dat de poorten 80 en 443 open zijn.

Voor UFW:

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

Voor Firewall:

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

6. Nginx- of Apache-configuratietests

Als er een fout zit in het configuratiebestand van de webserver, wordt de webservice mogelijk niet opnieuw geladen na het vernieuwen van de certbot.

Voor Nginx:

nginx -t

Voor Apache:

apachectl configtest

Als er geen fouten zijn, kunt u de services opnieuw installeren:

systemctl reload nginx

of:

systemctl reload apache2

7. Handmatige verlenging van SSL-certificaat

Als alle controles correct zijn, kunt u de vernieuwing handmatig uitvoeren:

certbot renew

Nginx-voorbeeld als u zich alleen opnieuw hoeft te certificeren voor een specifiek domein:

certbot --nginx -d domainadi.com -d www.domainadi.com

Apache-voorbeeld:

certbot --apache -d domainadi.com -d www.domainadi.com

8. De Auto Refresh Scheduler controleren

Certbot wordt meestal automatisch vernieuwd met systemd timer of cron.

systemctl list-timers | grep certbot

De timerstatus controleren:

systemctl status certbot.timer

Als de timer is uitgeschakeld:

systemctl enable certbot.timer
systemctl start certbot.timer

Veelvoorkomende fouten

• Proberen SSL te verkrijgen terwijl het IP-adres van het domein verkeerd is
• Sluit poort 80 en wacht tot HTTP-authenticatie werkt
• De authenticatiestructuur wordt niet gecontroleerd wanneer de Cloudflare-proxy is ingeschakeld
• Nginx/Apache-configuratiefout verwarren met certbot-fout
• Automatische verlenging niet testen totdat SSL verloopt

Veelgestelde vragen

Als de SSL is verlopen, wordt de site dan volledig afgesloten?
Technisch werkt de site misschien wel, maar de browser geeft een beveiligingswaarschuwing weer. Dit vermindert het vertrouwen van de klant ernstig.

Waarom mislukt de verlenging van Certbot?
Meestal wordt het domein naar het verkeerde IP-adres geleid, is de 80/443-poort gesloten, is de webserverconfiguratie onjuist of is het verificatiebestand niet toegankelijk.

Is SSL-verlenging een probleem bij het gebruik van Cloudflare?
Een onjuiste SSL-modus of proxyconfiguratie kan het verificatieproces beïnvloeden. De domeinverificatiemethode moet dienovereenkomstig worden gekozen.

Aanbevelingen voor veiligheid en bediening

• Controleer regelmatig de vervaldatums van SSL.
• Voer regelmatig de certbot renew --dry-run test uit.
• Sluit poorten 80 en 443 niet onnodig.
• Nadat de configuratie van de webserver is gewijzigd, voert u nginx -t of apachectl configtest uit.
• Verwaarloos SSL-monitoring niet op domeinen die betalings- en klantenpanelen gebruiken.

Dit artikel is speciaal opgesteld voor PvPServer.