Odnowienie certyfikatu Let's Encrypt
odnowienie lets encrypt · acme ssl renew · sprawdzenie certbot auto renew
Jak odnawiają się 90-dniowe certyfikaty Let's Encrypt, ACME HTTP-01 vs DNS-01, weryfikacja odnowienia SSL checkerem i naprawa nieudanych zadań auto-renew.
Autor: Zespół sieciowy DN01
Let's Encrypt wydaje darmowe certyfikaty DV ważne 90 dni, zakładając automatyczne odnowienie. Ręczne śledzenie szybko zawodzi w skali — traktuj sukces ACME jako monitorowane zadanie, nie notatkę w kalendarzu.
Po każdym wdrożeniu odnowienia potwierdź live publiczny hostname SSL Certificate Checkerem i sprawdź, czy notAfter przesunął się o ~90 dni.
Typy challenge ACME
HTTP-01: klient ACME serwuje token pod `http://hostname/.well-known/acme-challenge/...` — port 80 musi być dostępny z internetu.
DNS-01: TXT na `_acme-challenge.example.com` — działa dla wildcard i gdy HTTP zablokowany; automatyzuj przez API DNS, gdy możliwe.
TLS-ALPN-01: rzadziej, używany na porcie 443 z określoną negocjacją ALPN.
Gdy odnowienie nie udaje się
Sprawdź logi certbot lub ingress controller pod kątem 403/timeout na URL challenge.
Potwierdź, że rekordy CAA pozwalają na `letsencrypt.org`, jeśli CAA opublikowane.
Rate limits: zbyt wiele nieudanych zamówień lub duplikatów tygodniowo — poczekaj lub użyj staging endpoint przy debugowaniu.
Po naprawie uruchom ponownie SSL Checker — stare certy edge CDN mogą cache'ować starą ważność do purge.
Najczęściej zadawane pytania
- Ile dni przed wygaśnięciem odnawiać?
Automatyzuj przy 30 dniach; alert przy 14. LE zaleca odnowienie przy pozostałej 1/3 życia (~30 dni).
- Czy wildcard wymaga DNS-01?
Tak dla standardowych klientów ACME — wydanie wildcard wymaga walidacji DNS-01.
- Czy odnowienie zmieni fingerprint certyfikatu?
Zwykle tak — nowy cert, nowy serial. Aplikacje z pinningiem muszą zaktualizować piny lub unikać pinowania publicznych certów LE.