Când certificatul SSL al unui site web expiră, vizitatorii vor vedea un avertisment nesecurizat în browserul lor. Acest lucru nu numai că reduce încrederea utilizatorilor; WHMCS creează, de asemenea, probleme serioase pentru sistemele de plată, conexiunile API, panourile de joc și autentificarea clienților.

Certificatele Let's Encrypt sunt gratuite, dar trebuie reînnoite periodic. Dacă Certbot nu este configurat corect, reînnoirea va eșua și SSL-ul poate expira.

1. Verificarea certificatelor disponibile

Mai întâi verificați ce certificate sunt prezente pe server:

certbot certificates

Această comandă arată numele certificatului, domeniile, căile fișierelor și data de expirare.

Dacă nu există o comandă certbot, este posibil să nu fie instalată:

certbot --version

2. Efectuarea testării de reîmprospătare

Pentru a testa certificatul înainte de a-l reînnoi efectiv:

certbot renew --dry-run

Această comandă testează procesul de reîmprospătare. Dacă există o eroare, vă permite să vedeți problema înainte de ziua reală de reînnoire.

3. Cele mai frecvente erori Certbot

Cele mai multe erori de reînnoire Let's Encrypt sunt legate de validarea domeniului și accesul la serverul web.

• Răspuns nevalid: Let's Encrypt nu poate accesa fișierul de verificare.
• Conexiune refuzată: Portul 80 sau 443 poate fi închis.
• Timeout în timpul conectării: Este posibil ca domeniul să nu fie direcționat către server sau firewall-ul poate să îl blocheze.
• Neautorizat: Fișierul de verificare a domeniului poate returna conținut incorect.
• Prea multe certificate: Este posibil ca încercările de certificare să fi fost făcute prea des.

4. Verificarea rutării IP de domeniu

Pentru ca reînnoirea certificatului să funcționeze, domeniul trebuie direcționat către adresa IP corectă a serverului.

dig domainadi.com +short

Dacă dig nu este instalat:

apt install dnsutils -y

Pe sisteme bazate pe CentOS:

yum install bind-utils -y

IP-ul returnat de domeniu trebuie să fie același cu adresa IP a serverului pe care va fi instalat SSL.

5. Verificarea porturilor 80 și 443

Let's Encrypt dorește adesea să acceseze portul 80 pentru autentificare HTTP. Dacă portul 80 este închis, autentificarea poate eșua.

ss -tulpn | grep -E ':80|:443'

Dacă utilizați un firewall, asigurați-vă că porturile 80 și 443 sunt deschise.

Pentru UFW:

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

Pentru Firewalld:

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

6. Testare Nginx sau Apache Config

Dacă există o eroare în fișierul de configurare a serverului web, este posibil ca serviciul web să nu fie reîncărcat după reîmprospătarea certbot.

Pentru Nginx:

nginx -t

Pentru Apache:

apachectl configtest

Dacă nu există erori, puteți reinstala serviciile:

systemctl reload nginx

sau:

systemctl reload apache2

7. Reînnoirea manuală a certificatului SSL

Dacă toate verificările sunt corecte, puteți rula reîmprospătarea manual:

certbot renew

Exemplu Nginx dacă trebuie să recertificați doar pentru un anumit domeniu:

certbot --nginx -d domainadi.com -d www.domainadi.com

Exemplu Apache:

certbot --apache -d domainadi.com -d www.domainadi.com

8. Verificarea programatorului de reîmprospătare automată

Certbot de obicei se reîmprospătează automat cu timer sau cron systemd.

systemctl list-timers | grep certbot

Pentru a verifica starea temporizatorului:

systemctl status certbot.timer

Dacă temporizatorul este oprit:

systemctl enable certbot.timer
systemctl start certbot.timer

Greșeli comune

• Încercarea de a obține SSL atunci când adresa IP a domeniului este greșită
• Închideți portul 80 și așteptați ca autentificarea HTTP să funcționeze
• Nu se verifică structura de autentificare când proxy-ul Cloudflare este activat
• Eroare de configurare Nginx/Apache greșită cu eroarea certbot
• Nu se testează reînnoirea automată până la expirarea SSL

Întrebări frecvente

Dacă SSL-ul a expirat, site-ul se va închide complet?
Site-ul poate funcționa din punct de vedere tehnic, dar browserul afișează un avertisment de securitate. Acest lucru reduce serios încrederea clienților.

De ce Certbot reînnoiește eșuează?
De obicei, domeniul este direcționat către IP greșit, portul 80/443 este închis, configurația serverului web este incorectă sau fișierul de verificare nu este accesibil.

Este reînnoirea SSL o problemă când utilizați Cloudflare?
Modul SSL sau configurația proxy incorectă pot afecta procesul de verificare. Metoda de verificare a domeniului trebuie aleasă în consecință.

Recomandări de siguranță și operațiuni

• Verificați periodic datele de expirare a SSL.
• Rulați periodic testul certbot renew --dry-run.
• Nu închideți porturile 80 și 443 în mod inutil.
• După modificările de configurare a serverului web, rulați nginx -t sau apachectl configtest.
• Nu neglijați monitorizarea SSL pe domeniile care folosesc panouri de plată și clienți.

Acest articol este pregătit special pentru PvPServer.