Odnowienie certyfikatu SSL
Jak działa auto-odnawianie Let's Encrypt w DirectAdmin, kiedy ręcznie ponawiać próbę, co zrobić gdy automat się nie powiódł. Plus ręczne odnowienie własnych certów.
Certyfikaty SSL nie są wieczne. Let's Encrypt — 90 dni, komercyjne (Sectigo, DigiCert) — rok do trzech. DirectAdmin w IQHost odnawia Let's Encrypt automatycznie po 60 dniach (30 dni buforu). W tym poradniku zobaczymy gdzie sprawdzić status, jak ręcznie wymusić odnowienie, i co zrobić gdy zawodzi.
Co zyskasz
- Sprawdzisz status auto-odnawiania w DA.
- Wymusisz ręczne odnowienie gdy automat zawiódł.
- Zaplanujesz odnawianie własnych certów (poza Let's Encrypt).
- Skonfigurujesz powiadomienia o wygasaniu.
Wymagania wstępne
- Istniejący certyfikat SSL na koncie.
- Domena z DNS skierowanym na IQHost (Let's Encrypt znowu zweryfikuje przy odnowieniu).
Wskazówka
Let's Encrypt vs komercyjny — odnawianie:
- Let's Encrypt — automatyczne, DA odnawia w tle. Zero pracy.
- Komercyjny — ręczne. Płacisz, wystawia, wgrywasz, restart.
Krok 1: Sprawdź status auto-odnawiania
Zarządzanie kontami → Certyfikaty SSL.
Sekcja Informacje o automatycznych certyfikatach SSL zawiera tabelę z istniejącymi certami Let's Encrypt:
- Certyfikaty — nazwa głównej domeny pokrytej certem
- Następne ponowne próby — kiedy DA spróbuje odnowić następnym razem
- Hosty SNI — wszystkie domeny pokryte certem (z wildcard, jeśli jest)
- Wyzwalacz ręczny — przycisk Ponów do wymuszenia odnowienia teraz
Dla świeżego konta
host36592widać domyślny certhost36592.iqhs.plz hostami*.host36592.iqhs.plihost36592.iqhs.pl.
Krok 2: Auto-odnawianie — jak działa
Domyślnie DA odnawia Let's Encrypt 60 dni po wystawieniu (cert ważny 90 dni). Pozostają 30 dni buforu — jeśli odnowienie zawiedzie, masz miesiąc na reakcję.
Auto-odnowienie:
- Cron na serwerze sprawdza co kilka godzin certyfikaty bliskie wygaśnięciu
- Wysyła nowe żądanie do Let's Encrypt (z tymi samymi hostami)
- Let's Encrypt weryfikuje HTTP-01 challenge (lub DNS-01 dla wildcard)
- Wystawia nowy cert
- DA instaluje, restart serwera w tle
Cały proces niewidoczny — strona działa nieprzerwanie.
::: callout ok Najlepsza praktyka: nie ruszaj certów Let's Encrypt. Działają same. Tylko sprawdzaj raz na pół roku tabelę, czy nic się nie pali.
Krok 3: Wymuś ręczne odnowienie (gdy automat zawiódł)
Jeśli widzisz, że cert wkrótce wygasa, a DA nie odnowił automatycznie:
- W tabeli zaznacz checkbox przy cert
- Kliknij Ponów w toolbarze
- DA natychmiast spróbuje odnowić
Status pojawi się u góry. Sukces = nowy cert, błąd = komunikat z przyczyną.
Krok 4: Powiadomienia o wygasaniu
Let's Encrypt wysyła automatycznie maile 20, 10, 1 dzień przed wygaśnięciem — na adres podany przy generowaniu certu (pole Adres e-mail w formularzu ACME).
Jeśli nie podałeś maila, ustaw teraz: Certyfikaty SSL → Uzyskaj automatyczny... → ZAPISZ (z polem mail wypełnionym). Następne odnowienie zarejestruje adres.
Komercyjne CA też wysyłają powiadomienia (zwykle 60/30/14/7/1 dzień), ale na maile w panelu zamówienia.
Ręczne odnowienie własnego certu (komercyjny)
Komercyjne certy nie są auto-odnawiane przez DA. Procedura:
- 30 dni przed wygaśnięciem — w panelu CA (Sectigo, DigiCert) zamów odnowienie
- Wygeneruj nowy CSR w DA (z nowym kluczem, dla bezpieczeństwa) — patrz Generowanie CSR
- Wyślij CSR do CA
- Po wystawieniu pobierz nowy cert + chain
- W DA: Certyfikaty SSL → Wklej wstępnie wygenerowany certyfikat i klucz → wklej nowy klucz + cert + chain — patrz Wgrywanie własnego cert
- ZAPISZ
- Restart serwera w tle, nowy cert aktywny
Najczęstsze problemy
1. „Cert wygasł — strona pokazuje błąd"
Awaria pewności DA. Idź natychmiast:
- Certyfikaty SSL → cert na liście → Ponów
- Jeśli nie pomaga, wystaw cert od nowa (radio button Uzyskaj automatyczny)
- Sprawdź czy domena nadal wskazuje na IQHost (
dig +short mojafirma.pl)
2. „Odnowienie zawiodło — Let's Encrypt blokuje"
Limity Let's Encrypt:
- 5 błędnych prób walidacji per godzinę — poczekaj
- 50 nowych certów per domena rejestru per tydzień
Jeśli przekroczone — poczekaj 1-7 dni.
3. „Domena zmieniła IP — odnowienie zawodzi"
Let's Encrypt sprawdza po HTTP że domena prowadzi na nasz serwer. Jeśli zmieniłeś hosting (NS poszły gdzie indziej), nie odnowi.
Rozwiązanie:
- Przywróć NS-y IQHost (lub rekord A) → odnowienie zadziała
- Albo: na nowym hostingu wystaw cert dla tej domeny
4. „Mam wildcard, ale odnawia się błąd DNS-01"
Wildcard wymaga rekordu TXT w DNS (challenge DNS-01). DA dla domen w IQHost robi to automatycznie. Dla domen z DNS u innego dostawcy (np. Cloudflare) — trzeba ręcznie.
Rozwiązanie:
- Przenieś DNS na IQHost (zmień NS u rejestratora) → automat zadziała
- Albo: ręcznie dodaj TXT w panelu Twojego DNS gdy DA o to poprosi
5. „Cert został odnowiony, ale przeglądarka nadal pokazuje stary"
Cache certyfikatu w przeglądarce/OS. Wymuś:
- Hard refresh: Ctrl+F5
- Incognito mode
- Czyszczenie cache: Windows
certutil -urlcache * delete, macOSKeychain Access→ usuń wpisy dla domeny
6. „Ile kosztuje odnowienie Let's Encrypt?"
Zero. Let's Encrypt jest całkowicie darmowy. Nie pobiera opłat, nie wymaga rejestracji. Działa w nieskończoność, dopóki wykazujesz, że nadal kontrolujesz domenę.
7. „Można przejść z komercyjnego cert na Let's Encrypt?"
Tak, w dowolnej chwili:
- Certyfikaty SSL → wybierz Uzyskaj automatyczny certyfikat od dostawcy ACME
- Wypełnij listę hostów
- ZAPISZ
DA wystawi nowy Let's Encrypt cert, zastępując komercyjny. Stary cert komercyjny zostaje na liście (możesz usunąć później).
Słowniczek
- Cert lifetime — okres ważności. Let's Encrypt 90 dni, komercyjne 1-3 lata (od 2020 max 13 miesięcy).
- Renew (odnowienie) — wystawienie nowego cert z tymi samymi danymi.
- Reissue (ponowne wystawienie) — wystawienie nowego cert (zwykle z nowym kluczem) bez zmiany dat ważności.
- Auto-renew — automatyczne odnawianie przez panel/CA.
- Cron renewal — proces serwerowy uruchamiający odnawianie cyklicznie.
Related
Feedback
Czy ten artykuł pomógł?