Let‘s Encrypt Zertifikat erneuern – Manueller Modus
In diesem Beitrag erfahren Sie, wie Sie ein manuell erstelltes Let‘s Encrypt Zertifikat erneuern können. Der Hinweis zur Erneuerung, den einen Let‘s Encrypt bei der Erstellung des Zertifikats gibt, ist leider für den manuellen Modus unbrauchbar.
Ihr manuell erstelltes Zertifikat muss erneuert werden
Wenn Sie bereits ein Let‘s Encrypt Zertifikat manuell erstellt haben und dies erfolgreich beispielsweise in Ihrem Webhosting Tarif bzw. Managed Server eingereicht haben, kommt irgendwann der Tag, an dem Sie das Zertifikat erneuern müssen. Tun Sie das rechtzeitig, denn wenn es Probleme gibt, haben Sie so mehr Zeit zum recherchieren und tüfteln.
Bei der Erstellung bzw. Beantragung des Zertifikates hat Ihnen der Certbot von Let‘s Encrypt mitgeteilt, dies mit dem Befehl certbot renew erneuern zu können. Bei manuell erstellen Zertifikaten ist dies allerdings nicht korrekt und führt zu dem folgenden Fehler:
Processing /etc/letsencrypt/renewal/www.ihre-seite.de.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Could not choose appropriate plugin: The manual plugin is not working; there may be problems with your existing configuration.
The error was: PluginError('An authentication script must be provided with --manual-auth-hook when using the manual plugin non-interactively.',)
Attempting to renew cert (www.ihre-seite.de) from /etc/letsencrypt/renewal/www.ihre-seite.de.conf produced an unexpected error: The manual plugin is not working; there may be problems with your existing configuration.
The error was: PluginError('An authentication script must be provided with --manual-auth-hook when using the manual plugin non-interactively.',). Skipping.
Die Lösung im manuellen Modus:
Eine Möglichkeit zur Lösung des Problems habe ich bei der Let‘s Encrypt Community gefunden (Englisch). Um das Zertifikat einer Domain mit beiden Varianten (mit www und ohne www) zu erneuern, müssen Sie den folgenden Befehl in Ihr Terminal schreiben:
sudo certbot certonly -a manual -d www.ihre-seite.de -d ihre-seite.de
Nach Eingabe Ihres Passwortes sollte der Prozess ordnungsgemäß beginnen.
...
Cert is due for renewal, auto-renewing...
Renewing an existing certificate
Performing the following challenges:
...
Allerdings müssen Sie erneut dem IP Logging zustimmen und sich ebenso erneut authentifizieren, also beweisen, dass Sie der Eigentümer der Domain sind. Wie dies geht, finden Sie in meinem Beitrag zur Erstellung von Zertifikaten im manuellen Modus.
Hinweise:
Für die Erneuerung der Zertifikate müssen Sie den Account nutzen, den Sie für die Erstellung verwendet haben. Wollen Sie einen anderen Account verwenden, muss das Zertifikat widerrufen und auf dem neuen Account neu beantragt werden.
Wenn Sie das erneuerte Zertifikat einreichen, wird das alte Zertifikat ggf. nicht direkt durch das neue ersetzt. Aktivieren Sie also bei Ihrem Anbieter das neue Zertifikat und deaktivieren Sie das Alte.
Unter Umständen kann es eine Weile dauern, bis Ihr Anbieter das Zertifikat endgültig ersetzt hat. Das führt dazu, dass die Seite für wenige Sekunden nicht erreichbar ist bzw. in dieser Zeit einen Bad Request ausgibt, dies ist aber in der Regel kein Anlass zur Sorge.
Kommentare: (7)
Grüße,
Marc
Für Ubuntu: root CA in ein neues Verzeichnis kopieren, zBsp.:
/usr/local/share/ca-certificates
dann einmal
sudo update-ca-certificates
ausführen
freut mich, dass dir mein Beitrag geholfen hat und danke für den Hinweis.
Mein Tipp wäre auch gewesen, dass du einen zu alten Browser oder ein zu altes Betriebssystem verwendest.
Denn im Normalfall dürfte es bezüglich des Zertifikats hier auf der Seite kein Problem geben. Ich bekomme hier jedenfalls keine Meldung.
Gruß
Sven
ich habe ein aktuelles BigSur und aktuelle Browser. Bei Chrome, Safari und Opera bekomme ich eine Warnung. Firefox zeigt mir in der Tat den richtigen Pfad und somit auch keine Warnung an.
Gestern habe ich Let's encrypt bei einem unserer Systeme mal neu installiert und auch da wird immer noch die Zertifikatskette mit dem abgelaufenen Zwischenzertifikat installiert. Meine Lösung war es jetzt das abgelaufene Zwischenzertifikat manuell zu entfernen. Naja, vielleicht fixen die das ja mal.
Grüße,
Marc
wirklich sehr interessant. Danke für die Rückmeldung.
Das ist echt verrückt, habe mit einer ganzen Stange von Browsern probiert, dieses Problem zu Gesicht zu bekommen, sowohl unter Windows, als auch unter Linux. Aber selbst mit dem IE funktioniert alles problemlos. Einzig der Midori-Browser (Webkit) deutet auf ein Problem hin. Andere Seiten laufen mit dem Browser und LE tatsächlich ganz normal, ist also definitiv ein Problem bei mir.
Werde ich mir wohl mal näher ansehen müssen.
Nochmals vielen Dank für den Hinweis auf diese Problematik.
Gruß
Sven
Bei mir steht im Zertifikat, dass es rechtzeitig erneuert wird.
Kann ich mich dadrauf verlassen?
naja, es handelt sich hier um eine Anleitung, wie man ein manuell erstelltes Let's Encrypt Zertifikat unter Linux (Mint / Ubuntu) erneuern kann.
Der gewöhnliche Ablauf in kurz und knapp: Der Nutzer beantragt die Zertifikate manuell bei der Zertifizierungsstelle und liefert die Zertifikate dann bei seinem Webhosting Anbieter ein. Später erneutert der Nutzer die Zertifikate wieder manuell und liefert die erneuerten Zertifikate erneut ein.
Handelt es sich bei deinem Zertifikat um eines von Let's Encrypt? Wenn nein, ist diese Anleitung leider nutzlos für dich.
Hast du das Zertifikat selbst ausstellen lassen oder hat dies der Anbieter für dich erledigt? Falls dies der Anbieter war, solltest du dich, bei Problemen damit, auch an diesen wenden.
Wo genau hast du gelesen, dass das Zertifikat rechtzeitig erneuert wird? Einfach so passiert das nicht, außer der Anbieter kümmert sich darum.
Das Terminal solltest du i. d. R. finden, wenn du in der Suche im Startmenü bzw. bei den Anwendungen deiner verwendeten Linux-Distribution den Begriff "Terminal" eingibst.
Gruß
Sven