Let‘s Encrypt Zertifikat erneuern – Manueller Modus

Geschrieben von: Sven
Veröffentlicht am: 12.03.2018, 11:51 Uhr

In diesem Beitrag erfahren Sie, wie Sie ein manuell erstelltes Let‘s Encrypt Zertifikat erneuern können. Der Hinweis zur Erneuerung, den einen Let‘s Encrypt bei der Erstellung des Zertifikats gibt, ist leider für den manuellen Modus unbrauchbar.

Ihr manuell erstelltes Zertifikat muss erneuert werden

Wenn Sie bereits ein Let‘s Encrypt Zertifikat manuell erstellt haben und dies erfolgreich beispielsweise in Ihrem Webhosting Tarif bzw. Managed Server eingereicht haben, kommt irgendwann der Tag, an dem Sie das Zertifikat erneuern müssen. Tun Sie das rechtzeitig, denn wenn es Probleme gibt, haben Sie so mehr Zeit zum recherchieren und tüfteln.

Bei der Erstellung bzw. Beantragung des Zertifikates hat Ihnen der Certbot von Let‘s Encrypt mitgeteilt, dies mit dem Befehl certbot renew erneuern zu können. Bei manuell erstellen Zertifikaten ist dies allerdings nicht korrekt und führt zu dem folgenden Fehler:

Processing /etc/letsencrypt/renewal/www.ihre-seite.de.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Could not choose appropriate plugin: The manual plugin is not working; there may be problems with your existing configuration.
The error was: PluginError('An authentication script must be provided with --manual-auth-hook when using the manual plugin non-interactively.',)
Attempting to renew cert (www.ihre-seite.de) from /etc/letsencrypt/renewal/www.ihre-seite.de.conf produced an unexpected error: The manual plugin is not working; there may be problems with your existing configuration.
The error was: PluginError('An authentication script must be provided with --manual-auth-hook when using the manual plugin non-interactively.',). Skipping.

Die Lösung im manuellen Modus:

Eine Möglichkeit zur Lösung des Problems habe ich bei der Let‘s Encrypt Community gefunden (Englisch). Um das Zertifikat einer Domain mit beiden Varianten (mit www und ohne www) zu erneuern, müssen Sie den folgenden Befehl in Ihr Terminal schreiben:

sudo certbot certonly -a manual -d www.ihre-seite.de -d ihre-seite.de

Nach Eingabe Ihres Passwortes sollte der Prozess ordnungsgemäß beginnen.

...
Cert is due for renewal, auto-renewing...
Renewing an existing certificate
Performing the following challenges:
...

Allerdings müssen Sie erneut dem IP Logging zustimmen und sich ebenso erneut authentifizieren, also beweisen, dass Sie der Eigentümer der Domain sind. Wie dies geht, finden Sie in meinem Beitrag zur Erstellung von Zertifikaten im manuellen Modus.

Hinweise:

Für die Erneuerung der Zertifikate müssen Sie den Account nutzen, den Sie für die Erstellung verwendet haben. Wollen Sie einen anderen Account verwenden, muss das Zertifikat widerrufen und auf dem neuen Account neu beantragt werden.

Wenn Sie das erneuerte Zertifikat einreichen, wird das alte Zertifikat ggf. nicht direkt durch das neue ersetzt. Aktivieren Sie also bei Ihrem Anbieter das neue Zertifikat und deaktivieren Sie das Alte.

Unter Umständen kann es eine Weile dauern, bis Ihr Anbieter das Zertifikat endgültig ersetzt hat. Das führt dazu, dass die Seite für wenige Sekunden nicht erreichbar ist bzw. in dieser Zeit einen Bad Request ausgibt, dies ist aber in der Regel kein Anlass zur Sorge.

Kommentare: (5)

Marc
28.10.2021, 18:36 Uhr
Hey, danke für den Artikel, btw: Euer Let`s encrypt Zwischenzertifikat ist am 29. September abgelaufen und zeigt auf ein ungültiges root CA.
Grüße,
Marc

Marc
28.10.2021, 20:13 Uhr
Nachtrag: Wenn ihr Probleme mit dem Renewal des Let's encrypt habt: Alte Systeme, z.Bsp. Ubuntu 16.04 erneuern ihre root CAs nicht mehr. Ihr müsst dann das neue root CA von Let's encrypt manuell hinzufügen.
Für Ubuntu: root CA in ein neues Verzeichnis kopieren, zBsp.:
/usr/local/share/ca-certificates
dann einmal
sudo update-ca-certificates
ausführen

28.10.2021, 20:42 Uhr
Hi Marc,

freut mich, dass dir mein Beitrag geholfen hat und danke für den Hinweis.

Mein Tipp wäre auch gewesen, dass du einen zu alten Browser oder ein zu altes Betriebssystem verwendest.

Denn im Normalfall dürfte es bezüglich des Zertifikats hier auf der Seite kein Problem geben. Ich bekomme hier jedenfalls keine Meldung.

Gruß

Sven
https://www.hostflash.de

Marc
29.10.2021, 09:25 Uhr
Hi Sven,

ich habe ein aktuelles BigSur und aktuelle Browser. Bei Chrome, Safari und Opera bekomme ich eine Warnung. Firefox zeigt mir in der Tat den richtigen Pfad und somit auch keine Warnung an.
Gestern habe ich Let's encrypt bei einem unserer Systeme mal neu installiert und auch da wird immer noch die Zertifikatskette mit dem abgelaufenen Zwischenzertifikat installiert. Meine Lösung war es jetzt das abgelaufene Zwischenzertifikat manuell zu entfernen. Naja, vielleicht fixen die das ja mal.

Grüße,
Marc

29.10.2021, 19:56 Uhr
Hi Marc,

wirklich sehr interessant. Danke für die Rückmeldung.

Das ist echt verrückt, habe mit einer ganzen Stange von Browsern probiert, dieses Problem zu Gesicht zu bekommen, sowohl unter Windows, als auch unter Linux. Aber selbst mit dem IE funktioniert alles problemlos. Einzig der Midori-Browser (Webkit) deutet auf ein Problem hin. Andere Seiten laufen mit dem Browser und LE tatsächlich ganz normal, ist also definitiv ein Problem bei mir.

Werde ich mir wohl mal näher ansehen müssen.

Nochmals vielen Dank für den Hinweis auf diese Problematik.

Gruß

Sven
https://www.hostflash.de

Kommentar schreiben:

5000 Zeichen übrig
Hinweise zur Verarbeitung Ihrer Angaben und Widerspruchsrechte finden Sie in unserer Datenschutzerklärung.

Artikel in: Webhosting

* = Partnerlink
Start » Blog » Webhosting » Let‘s Encrypt Zertifikat erneuern – Manueller Modus
Cookies helfen uns bei der Bereitstellung unserer Dienste. Mit der Nutzung dieser Website erklären Sie sich damit einverstanden, dass wir Cookies einsetzen. Weitere Informationen