Darmowy SSL Let's Encrypt w DirectAdmin

W 2026 roku strona bez HTTPS to strona z karą — Google obniża pozycje, przeglądarki straszą zieloną kłódką, klienci tracą zaufanie. Na szczęście Let's Encrypt daje darmowe certyfikaty SSL, a DirectAdmin w IQHost wystawia je jednym kliknięciem z automatycznym odnawianiem co 60 dni. W tym poradniku zrobimy to na koncie host36592.

Co zyskasz#

• Wystawisz darmowy certyfikat SSL Let's Encrypt dla swojej domeny i subdomen.
• Włączysz auto-odnawianie (cert ważny 90 dni, DA odnawia automatycznie po 60).
• Pokażesz HTTPS w przeglądarce z zieloną kłódką.
• Dowiesz się jak dodawać kolejne domeny do tego samego certyfikatu.

Wymagania wstępne#

• Domena dodana na koncie. Patrz Jak dodać domenę.
• DNS domeny już propagowane na IQHost (rekord A wskazuje na nasz serwer). Bez tego Let's Encrypt nie zweryfikuje własności.
• Opcjonalnie: rekordy A dla wszystkich subdomen, które mają być w certyfikacie (np. www, mail).

Wskazówka

Jak weryfikuje Let's Encrypt? Wysyła HTTP zapytanie na http://twojadomena.pl/.well-known/acme-challenge/TOKEN. Jeśli serwer odpowie poprawnym tokenem — Let's Encrypt potwierdza, że to faktycznie Twoja domena, i wystawia cert. DA robi to za Ciebie w tle.

Krok 1: Otwórz Certyfikaty SSL

W DA: Zarządzanie kontami → Certyfikaty SSL. URL: /evo/user/ssl/server.

Zobaczysz pięć trybów (radio buttons):

1. Uzyskaj automatyczny certyfikat od dostawcy ACME — Let's Encrypt (to chcemy)
2. Wklej wstępnie wygenerowany certyfikat i klucz — własny cert (płatny, z innej firmy)
3. Utwórz żądanie certyfikatu — generator CSR (dla zewnętrznych CA)
4. Użyj najlepszego certyfikatu zgodności — zwykle wybrane domyślnie (najlepszy z dostępnych)
5. Utwórz własny samopodpisany certyfikat — tylko do testów (nie zaakceptują go przeglądarki publicznie)

Dla świeżego konta host36592 widać że w tabeli Informacje o automatycznych certyfikatach SSL już istnieje cert dla *.host36592.iqhs.pl i host36592.iqhs.pl — to nasz wildcard wystawiony przy zakładaniu konta.

Krok 2: Wybierz „Uzyskaj automatyczny certyfikat od dostawcy ACME"

Zaznacz pierwszą opcję. Pojawi się formularz z polami:

• Hosty — lista domen do pokrycia (do wpisania)
• Klucz — algorytm szyfrowania (RSA lub ECC). Zostaw RSA jeśli nie wiesz.
• Wielkość klucza — 2048 lub 4096 bitów. 2048 wystarczy.
• Adres e-mail — kontakt do Let's Encrypt (powiadomienia o wygasaniu). Wpisz swój.

Pole Hosty jest najważniejsze — listujesz wszystkie domeny/subdomeny, dla których chcesz mieć HTTPS w jednym certyfikacie.

Krok 3: Wypełnij listę hostów

Pojedyncza domena z www:

mojafirma.pl
www.mojafirma.pl

Domena + kilka subdomen:

mojafirma.pl
www.mojafirma.pl
blog.mojafirma.pl
sklep.mojafirma.pl
api.mojafirma.pl

Wildcard (wszystkie subdomeny):

mojafirma.pl
*.mojafirma.pl

::: callout warn Wildcard wymaga walidacji DNS-01, nie HTTP-01. DA wspiera oba, ale dla wildcard potrzebny jest dostęp do edycji rekordów DNS (mamy w IQHost — działa automatycznie). Wildcard dla domeny zewnętrznej (z innym DNS) może wymagać ręcznego dodania rekordu TXT.

Wszystkie domeny w liście muszą wskazywać na ten serwer — Let's Encrypt sprawdza każdą osobno. Jeśli jedna z domen ma niewłaściwy A → cały cert nie zostanie wystawiony.

Krok 4: Kliknij ZAPISZ

Zielony przycisk ZAPISZ na dole formularza. DA w tle:

1. Generuje klucz prywatny RSA 2048 bit
2. Tworzy CSR (Certificate Signing Request)
3. Wysyła do Let's Encrypt
4. Let's Encrypt wystawia challenge HTTP-01 (lub DNS-01 dla wildcard)
5. DA odpowiada na challenge
6. Let's Encrypt waliduje i wystawia certyfikat
7. DA instaluje cert w konfiguracji Apache/LiteSpeed dla tej domeny
8. Auto-restart serwera WWW (lub graceful reload)

Cały proces zajmuje 30 sekund – 2 minuty. Status pokazuje się u góry strony.

::: callout ok Gotowe. Otwórz https://mojafirma.pl w przeglądarce — powinieneś zobaczyć zieloną kłódkę i poprawny HTTPS.

Krok 5: Sprawdź auto-odnawianie

Certyfikaty Let's Encrypt są ważne 90 dni. DA odnawia automatycznie po 60 dniach — masz 30 dni buforu na ewentualne problemy.

Sprawdź w tabeli Informacje o automatycznych certyfikatach SSL — kolumna Następne ponowne próby pokazuje termin następnej próby odnowienia.

Jeśli odnowienie się nie powiedzie, DA wysyła Ci maila i wyświetla błąd w panelu. Wtedy zaglądasz tutaj, ewentualnie ręcznie klikasz Ponów w toolbarze.

Krok 6: Wymuś HTTPS (przekierowanie z HTTP)

Pod radio-buttons na stronie SSL znajdziesz checkbox „Wymuś SSL z przekierowaniem https". Zaznacz i kliknij obok Zapisz.

Od tej chwili każdy gość wpisujący http://mojafirma.pl (bez s) zostanie automatycznie przekierowany na https://mojafirma.pl. To 301 redirect — przyjazny dla SEO.

Pełna instrukcja: Wymuszanie HTTPS.

Dodanie kolejnej domeny do istniejącego certyfikatu#

Jeśli już masz cert i chcesz dodać kolejną subdomenę:

1. Certyfikaty SSL → ten sam formularz
2. W polu Hosty dopisz nową domenę do listy
3. ZAPISZ
4. Let's Encrypt wystawi nowy cert pokrywający wszystkie domeny z listy
5. Stary cert zastępowany automatycznie

Najczęstsze problemy#

1. „Certyfikat nie został wystawiony — błąd"#

Najczęstsza przyczyna: domena nie wskazuje na nasz serwer. Sprawdź:

dig +short mojafirma.pl

Powinno zwrócić IP Twojego serwera IQHost. Jeśli nie — propagacja DNS jeszcze nie zaszła albo niepoprawnie skierowałeś. Patrz Skierowanie DNS na IQHost.

2. „Cert dla głównej działa, dla subdomeny nie"#

Subdomena musi mieć własny rekord A wskazujący na ten sam serwer. Sprawdź w Zarządzanie DNS czy blog.mojafirma.pl A 195.117.36.225 istnieje. Patrz Rekord A.

3. „Limit Let's Encrypt — Too many requests"#

Let's Encrypt ma limity:

• 50 certyfikatów per domena głównego rejestru (np. .pl) tygodniowo
• 5 duplicate certs (te same domeny) per tydzień
• 5 błędnych prób walidacji per godzinę

Jeśli wykonujesz dużo prób, poczekaj kilka godzin. W tracie debugu używaj Let's Encrypt staging (zaznacz tylko w trybie deweloperskim).

4. „Cert ma wildcard, ale przeglądarka pokazuje błąd dla subdomeny"#

Wildcard *.mojafirma.pl pokrywa tylko jeden poziom subdomen. Działa dla blog.mojafirma.pl, ale nie dla panel.admin.mojafirma.pl. Dla drugiego poziomu potrzebny osobny wildcard *.admin.mojafirma.pl.

5. „Stary cert nadal w przeglądarce"#

Przeglądarki cachują certyfikaty. Wymuś odświeżenie:

• Chrome/Firefox: F12 → zakładka Network → checkbox „Disable cache" → odśwież
• Lub: otwórz w trybie incognito

6. „Mam już cert, chcę go usunąć i zacząć od nowa"#

W tabeli Informacje o automatycznych certyfikatach SSL: zaznacz cert checkboxem → przycisk Usuń. Potwierdź. Następnie wystaw nowy w głównym formularzu.

7. „CAA records — co to?"#

CAA (Certification Authority Authorization) to rekord DNS mówiący „która CA może wystawiać certyfikaty dla mojej domeny". Jeśli masz wpisaną inną CA niż Let's Encrypt, wystawienie zawiedzie. Sprawdź:

dig +short CAA mojafirma.pl

Brak CAA = wszystko ok. Jeśli widzisz wpisy — albo dodaj Let's Encrypt (0 issue "letsencrypt.org"), albo usuń istniejące.

Słowniczek#

• ACME — Automated Certificate Management Environment, protokół Let's Encrypt do automatycznego wystawiania certyfikatów.
• CSR (Certificate Signing Request) — żądanie wystawienia certyfikatu z kluczem publicznym, który wysyłasz do CA.
• CA (Certificate Authority) — firma podpisująca certyfikaty. Let's Encrypt jest darmową CA.
• SAN (Subject Alternative Name) — lista dodatkowych domen pokrytych jednym certyfikatem.
• HTTP-01 challenge — Let's Encrypt sprawdza, czy odpowiadasz na /.well-known/acme-challenge/.
• DNS-01 challenge — alternatywa: dodajesz rekord TXT w DNS żeby udowodnić własność (wymagana dla wildcard).
• Wildcard cert — certyfikat pokrywający *.domena.pl (wszystkie subdomeny pierwszego poziomu).

Related

• Wgrywanie własnego certyfikatu
• Wymuszanie HTTPS
• Odnowienie certyfikatu SSL
• Rozwiązywanie problemów z SSL
• Skierowanie domeny na IQHost
• Rekord A / AAAA