Warum die Verlängerung scheitert
Let's-Encrypt-Zertifikate gelten 90 Tage und sollen sich automatisch erneuern. Klappt das nicht, liegt es fast immer daran, dass der Validierungs-Server von Let's Encrypt deine Domain nicht erreicht. Die Ursache ist gut eingrenzbar.
1. Erneuerung testen
Mit Certbot prüfst du den Vorgang gefahrlos im Trockenlauf:
sudo certbot renew --dry-run
Die Ausgabe nennt den konkreten Fehler — meist ein Hinweis auf die fehlgeschlagene Challenge.
2. Zeigt die Domain noch auf den Server?
Wurde der DNS geändert oder der Server umgezogen, schlägt die Validierung fehl. Prüfe, ob die Domain auf die richtige IP zeigt:
dig +short deine-domain.de
Stimmt die IP nicht, korrigiere den A-Record beim Domain-Anbieter.
3. Ist Port 80 erreichbar?
Die häufigste HTTP-Challenge braucht Port 80. Prüfe, dass kein Firewall-Block davorsteht:
sudo ufw allow 80
Auch wenn deine Seite nur über HTTPS läuft — für die Validierung muss Port 80 offen sein.
4. Webserver-Konflikt
Nutzt du den standalone-Modus, darf währenddessen kein anderer Dienst auf Port 80 laufen. Entweder den Webserver kurz stoppen oder das passende Plugin (--nginx bzw. --apache) verwenden, das die Validierung über den laufenden Webserver abwickelt.
5. Automatik prüfen
Läuft der Renew-Timer? Kontrolliere ihn mit:
systemctl list-timers | grep certbot
Fehlt er, richte einen Cronjob oder Systemd-Timer für certbot renew ein.
Fazit
Dry-run zeigt den Fehler, DNS und Port 80 sind die üblichen Verdächtigen. Die Einrichtung von Anfang an erklärt der Artikel Certbot & Let's Encrypt. Vollen Zugriff dafür hast du auf einem Nytrix vServer.