Let's-Encrypt-Zertifikatserneuerung
lets encrypt erneuerung · acme ssl renew · certbot auto renew prüfen
Wie 90-Tage-Let's-Encrypt-Zertifikate erneuert werden, ACME HTTP-01 vs DNS-01, Erneuerung mit SSL Checker prüfen und fehlgeschlagene Auto-Renew-Jobs beheben.
Von DN01 Netzwerk-Team
Let's Encrypt stellt kostenlose DV-Zertifikate für 90 Tage aus, vorausgesetzt automatisierte Erneuerung. Manuelles Tracking scheitert schnell in Scale — ACME-Erfolg als überwachter Job behandeln, nicht als Kalendernotiz.
Nach jedem Erneuerungs-Deploy öffentlichen Live-Hostname mit SSL Certificate Checker bestätigen und prüfen, dass notAfter ~90 Tage vorrückt.
ACME-Challenge-Typen
HTTP-01: ACME-Client liefert Token unter `http://hostname/.well-known/acme-challenge/...` — Port 80 muss aus dem Internet erreichbar sein.
DNS-01: TXT unter `_acme-challenge.example.com` — funktioniert für Wildcards und wenn HTTP blockiert; per DNS-API automatisieren wenn möglich.
TLS-ALPN-01: seltener, auf Port 443 mit spezifischer ALPN-Verhandlung.
Wenn Erneuerung scheitert
Certbot- oder Ingress-Controller-Logs auf 403/Timeout bei Challenge-URL prüfen.
CAA-Records müssen `letsencrypt.org` erlauben, wenn CAA veröffentlicht ist.
Rate Limits: zu viele fehlgeschlagene Orders oder Duplikate pro Woche — warten oder Staging-Endpoint beim Debuggen.
Nach Fix SSL Checker erneut — veraltete CDN-Edge-Zerts können alten Ablauf bis Purge cachen.
Häufig gestellte Fragen
- Wie viele Tage vor Ablauf erneuern?
Bei 30 Tagen automatisieren; Alert bei 14. LE empfiehlt Erneuerung bei 1/3 Restlaufzeit (~30 Tage).
- Brauchen Wildcards DNS-01?
Ja für Standard-ACME-Clients — Wildcard-Ausstellung erfordert DNS-01-Validation.
- Ändert Erneuerung den Zertifikats-Fingerprint?
Meist ja — neues Cert, neue Serial. Pinning-Apps müssen Pins aktualisieren oder Public-LE-Certs nicht pinnen.