Kui veebisaidi SSL-sertifikaat aegub, näevad külastajad oma brauseris turvamata hoiatust. See mitte ainult ei vähenda kasutajate usaldust; WHMCS tekitab tõsiseid probleeme ka maksesüsteemide, API ühenduste, mängupaneelide ja klientide sisselogimiste jaoks.

Let's Encrypt sertifikaadid on tasuta, kuid neid tuleb perioodiliselt uuendada. Kui Certbot pole õigesti konfigureeritud, siis uuendamine nurjub ja SSL võib aeguda.

1. Saadaolevate sertifikaatide kontrollimine

Kõigepealt kontrollige, millised sertifikaadid serveris on:

certbot certificates

See käsk näitab sertifikaadi nime, domeene, failiteid ja aegumiskuupäeva.

Kui certbot käsku pole, ei pruugita seda installida:

certbot --version

2. Värskendustesti läbiviimine

Sertifikaadi testimiseks enne selle tegelikku uuendamist tehke järgmist.

certbot renew --dry-run

See käsk testib värskendusprotsessi. Kui esineb tõrge, võimaldab see probleemi näha enne tegelikku uuendamispäeva.

3. Enimlevinud Certboti vead

Enamik Let's Encrypt uuendusvigu on seotud domeeni valideerimise ja veebiserveri juurdepääsuga.

• Kehtetu vastus: Let's Encrypt ei pääse kinnitusfailile juurde.
• Ühendamisest keelduti: Port 80 või 443 võib olla suletud.
• Ühenduse ajalõpp: Domeeni ei pruugita serverisse suunata või tulemüür võib selle blokeerida.
• Volitamata: Domeeni kinnitusfail võib tagastada vale sisu.
• Liiga palju sertifikaate: Sertifikaadi katseid võidi teha liiga sageli.

4. Domeeni IP-marsruutimise kontrollimine

Sertifikaadi uuendamise toimimiseks tuleb domeen suunata õigele serveri IP-aadressile.

dig domainadi.com +short

Kui dig pole installitud:

apt install dnsutils -y

CentOS-põhistes süsteemides:

yum install bind-utils -y

Domeeni tagastatav IP peab olema sama mis serveri IP-aadress, kuhu SSL installitakse.

5. Portide 80 ja 443 kontrollimine

Let's Encrypt soovib sageli HTTP autentimiseks juurdepääsu pordile 80. Kui port 80 on suletud, võib autentimine ebaõnnestuda.

ss -tulpn | grep -E ':80|:443'

Kui kasutate tulemüüri, veenduge, et pordid 80 ja 443 on avatud.

UFW jaoks:

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

Tulemüüri jaoks:

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

6. Nginxi või Apache konfiguratsiooni testimine

Kui veebiserveri konfiguratsioonifailis on viga, ei pruugita veebiteenust pärast certboti värskendamist uuesti laadida.

Nginxi jaoks:

nginx -t

Apache jaoks:

apachectl configtest

Kui vigu pole, saate teenused uuesti installida:

systemctl reload nginx

või:

systemctl reload apache2

7. SSL-sertifikaadi käsitsi uuendamine

Kui kõik kontrollid on õiged, saate värskenduse käsitsi käivitada.

certbot renew

Nginxi näide, kui peate uuesti sertifitseerima ainult konkreetse domeeni jaoks:

certbot --nginx -d domainadi.com -d www.domainadi.com

Apache näide:

certbot --apache -d domainadi.com -d www.domainadi.com

8. Automaatse värskendamise ajakava kontrollimine

Certbot värskendab tavaliselt automaatselt süsteemitaimeri või croniga.

systemctl list-timers | grep certbot

Taimeri oleku kontrollimiseks:

systemctl status certbot.timer

Kui taimer on välja lülitatud:

systemctl enable certbot.timer
systemctl start certbot.timer

Levinud vead

• SSL-i hankimine, kui domeeni IP-aadress on vale
• Sulgege port 80 ja oodake, kuni HTTP autentimine töötab
• Autentimisstruktuuri ei kontrollita, kui Cloudflare'i puhverserver on sisse lülitatud
• Nginxi/Apache'i konfiguratsioonivea eksimus Certbot veaga
• Automaatset uuendamist ei testita enne SSL-i aegumist

KKK

Kui SSL on aegunud, kas sait suletakse täielikult?
Sait võib tehniliselt töötada, kuid brauser näitab turvahoiatust. See vähendab tõsiselt klientide usaldust.

Miks Certboti uuendamine ebaõnnestub?
Tavaliselt on domeen suunatud valele IP-le, 80/443 port on suletud, veebiserveri konfiguratsioon on vale või kinnitusfail pole juurdepääsetav.

Kas SSL-i uuendamine on Cloudflare'i kasutamisel probleem?
Vale SSL-režiim või puhverserveri konfiguratsioon võib mõjutada kinnitamisprotsessi. Domeeni kinnitamise meetod tuleks valida vastavalt.

Ohutus- ja käitamissoovitused

• Kontrollige regulaarselt SSL-i aegumiskuupäevi.
• Käivitage perioodiliselt certbot renew --dry-run test.
• Ärge sulgege porte 80 ja 443 asjatult.
• Pärast veebiserveri konfiguratsiooni muutmist käivitage nginx -t või apachectl configtest.
• Ärge jätke tähelepanuta SSL-i jälgimist domeenidel, mis kasutavad makse- ja kliendipaneele.

See artikkel on spetsiaalselt ette valmistatud PvPServeri jaoks.