Wenn das SSL-Zertifikat einer Website abläuft, wird den Besuchern in ihrem Browser eine Warnung zu „Ungesichert“ angezeigt. Dies verringert nicht nur das Vertrauen der Benutzer; WHMCS verursacht auch ernsthafte Probleme für Zahlungssysteme, API-Verbindungen, Spielkonsolen und Kundenanmeldungen.

Let's Encrypt-Zertifikate sind kostenlos, müssen jedoch regelmäßig erneuert werden. Wenn Certbot nicht richtig konfiguriert ist, schlägt die Erneuerung fehl und das SSL läuft möglicherweise ab.

1. Überprüfen der verfügbaren Zertifikate

Prüfen Sie zunächst, welche Zertifikate auf dem Server vorhanden sind:

certbot certificates

Dieser Befehl zeigt den Zertifikatsnamen, die Domänen, die Dateipfade und das Ablaufdatum an.

Wenn kein certbot-Befehl vorhanden ist, kann er möglicherweise nicht installiert werden:

certbot --version

2. Durchführen eines Aktualisierungstests

So testen Sie das Zertifikat vor der tatsächlichen Erneuerung:

certbot renew --dry-run

Dieser Befehl testet den Aktualisierungsprozess. Wenn ein Fehler auftritt, können Sie das Problem vor dem eigentlichen Verlängerungstag erkennen.

3. Die häufigsten Certbot-Fehler

Die meisten Erneuerungsfehler bei Let's Encrypt hängen mit der Domänenvalidierung und dem Webserverzugriff zusammen.

• Ungültige Antwort: Let's Encrypt kann nicht auf die Verifizierungsdatei zugreifen.
• Verbindung abgelehnt: Port 80 oder 443 ist möglicherweise geschlossen.
• Timeout während der Verbindung: Die Domäne wird möglicherweise nicht an den Server weitergeleitet oder die Firewall blockiert sie.
• Nicht autorisiert: Die Domain-Verifizierungsdatei gibt möglicherweise falsche Inhalte zurück.
• Zu viele Zertifikate: Möglicherweise wurden zu häufig Zertifikatsversuche unternommen.

4. Überprüfen des Domänen-IP-Routings

Damit die Zertifikatserneuerung funktioniert, muss die Domäne an die richtige Server-IP-Adresse weitergeleitet werden.

dig domainadi.com +short

Wenn dig nicht installiert ist:

apt install dnsutils -y

Auf CentOS-basierten Systemen:

yum install bind-utils -y

Die von der Domäne zurückgegebene IP muss mit der IP-Adresse des Servers übereinstimmen, auf dem SSL installiert wird.

5. Überprüfung der Ports 80 und 443

Let's Encrypt möchte häufig für die HTTP-Authentifizierung auf Port 80 zugreifen. Wenn Port 80 geschlossen ist, schlägt die Authentifizierung möglicherweise fehl.

ss -tulpn | grep -E ':80|:443'

Wenn Sie eine Firewall verwenden, stellen Sie sicher, dass die Ports 80 und 443 geöffnet sind.

Für UFW:

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

Für Firewalld:

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

6. Nginx- oder Apache-Konfigurationstests

Wenn in der Webserver-Konfigurationsdatei ein Fehler vorliegt, wird der Webdienst nach der Aktualisierung des Certbots möglicherweise nicht neu geladen.

Für Nginx:

nginx -t

Für Apache:

apachectl configtest

Wenn keine Fehler vorliegen, können Sie die Dienste neu installieren:

systemctl reload nginx

oder:

systemctl reload apache2

7. Manuelle Erneuerung des SSL-Zertifikats

Wenn alle Prüfungen korrekt sind, können Sie die Aktualisierung manuell ausführen:

certbot renew

Nginx-Beispiel, wenn Sie sich nur für eine bestimmte Domäne erneut zertifizieren müssen:

certbot --nginx -d domainadi.com -d www.domainadi.com

Apache-Beispiel:

certbot --apache -d domainadi.com -d www.domainadi.com

8. Überprüfen des Auto Refresh Schedulers

Certbot aktualisiert sich normalerweise automatisch mit systemd timer oder cron.

systemctl list-timers | grep certbot

So überprüfen Sie den Timer-Status:

systemctl status certbot.timer

Wenn der Timer ausgeschaltet ist:

systemctl enable certbot.timer
systemctl start certbot.timer

Häufige Fehler

• Es wird versucht, SSL zu erhalten, wenn die Domänen-IP-Adresse falsch ist
• Schließen Sie Port 80 und warten Sie, bis die HTTP-Authentifizierung funktioniert
• Die Authentifizierungsstruktur wird nicht überprüft, wenn der Cloudflare-Proxy aktiviert ist
• Verwechslung des Nginx/Apache-Konfigurationsfehlers mit einem Certbot-Fehler
• Die automatische Verlängerung wird erst getestet, wenn SSL abläuft

FAQ

Wird die Website vollständig heruntergefahren, wenn das SSL abgelaufen ist?
Die Website funktioniert möglicherweise technisch, der Browser zeigt jedoch eine Sicherheitswarnung an. Dies mindert das Vertrauen der Kunden erheblich.

Warum schlägt die Erneuerung von Certbot fehl?
Normalerweise wird die Domäne an die falsche IP weitergeleitet, der 80/443-Port ist geschlossen, die Webserverkonfiguration ist falsch oder auf die Verifizierungsdatei kann nicht zugegriffen werden.

Ist die SSL-Erneuerung ein Problem bei der Verwendung von Cloudflare?
Ein falscher SSL-Modus oder eine falsche Proxy-Konfiguration können den Verifizierungsprozess beeinträchtigen. Die Methode zur Domänenüberprüfung sollte entsprechend gewählt werden.

Sicherheits- und Betriebsempfehlungen

• Überprüfen Sie regelmäßig die SSL-Ablaufdaten.
• Führen Sie den certbot renew --dry-run-Test regelmäßig aus.
• Schließen Sie die Ports 80 und 443 nicht unnötig.
• Führen Sie nach Änderungen der Webserverkonfiguration nginx -t oder apachectl configtest aus.
• Vernachlässigen Sie nicht die SSL-Überwachung auf Domains, die Zahlungs- und Kundenpanels nutzen.

Dieser Artikel ist speziell für PvPServer vorbereitet.