Schritt 1 – Backup der alten Zertifikate#
Bevor man aufräumt, ein Backup anlegen:
mkdir -p /root/backup_letsencrypt
cp -r /etc/letsencrypt/renewal /root/backup_letsencrypt/
cp -r /etc/letsencrypt/live /root/backup_letsencrypt/
cp -r /etc/letsencrypt/archive /root/backup_letsencrypt/
Schritt 2 – Kaputte Konfigurationen löschen#
Alle fehlerhaften *.conf Dateien und die alten Zertifikatsordner entfernen:
rm /etc/letsencrypt/renewal/<your-domain>*.conf
rm -r /etc/letsencrypt/live/<your-domain>*
rm -r /etc/letsencrypt/archive/<your-domain>*
Schritt 3 – Cloudflare Credentials vorbereiten (Ist Bereits erledigt wenn man meine Vorlage nutzt)#
Eine Datei mit dem Cloudflare-API-Token anlegen:
sudo mkdir -p /root/.secrets/
sudo nano /root/.secrets/cloudflare.ini
Inhalt:
dns_cloudflare_api_token = <DEIN_API_TOKEN>
Sichere Rechte setzen:
chmod 600 /root/.secrets/cloudflare.ini
Schritt 4 – Neues Zertifikat ausstellen#
Mit dem Cloudflare DNS Plugin ein frisches Zertifikat anfordern:
Nur für die Subdomain:
certbot certonly \
--dns-cloudflare \
--dns-cloudflare-credentials /root/.secrets/cloudflare.ini \
-d <your-domain>
Oder als Wildcard (empfohlen):
certbot certonly \
--dns-cloudflare \
--dns-cloudflare-credentials /root/.secrets/cloudflare.ini \
-d <your-domain> \
-d '*.<your-domain>'
Schritt 5 – Erneuerung testen#
Mit einem Dry-Run prüfen:
certbot renew --dry-run
Wenn alles klappt, erstellt Certbot automatisch ein funktionierendes Renewal-Configfile. Zukünftige Erneuerungen laufen dann automatisch über den Systemd-Timer (certbot.timer).
✅ Ergebnis:
- Alte kaputte Zertifikate sind bereinigt.
- Neues Zertifikat wurde erfolgreich erstellt.
- Automatische Erneuerung funktioniert wieder zuverlässig.
