Alle Einstiegsanleitungen Erste Schritte

So erneuern Sie ein Let's-Encrypt-Zertifikat

Let’s-Encrypt-Zertifikate sind 90 Tage gültig. Sie sollten vor Tag 60 erneuern, um sich einen Sicherheitspuffer zu geben. So erneuern Sie mit GetHTTPS (manuell) und Certbot (automatisch).

Methode 1: Mit GetHTTPS erneuern (manuell)

Wiederholen Sie die gleichen Schritte, die Sie zum Erhalt des ursprünglichen Zertifikats verwendet haben:

  1. Gehen Sie zu gethttps.com/app/setup
  2. Geben Sie die gleiche(n) Domain(s) ein
  3. Schließen Sie eine HTTP-01- oder DNS-01-Challenge ab (wie zuvor)
  4. Laden Sie die neuen Zertifikatsdateien herunter
  5. Ersetzen Sie die alten Dateien auf Ihrem Server:
    sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem
    sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem
    sudo systemctl reload nginx  # oder apache2/httpd

Dauer: 2-3 Minuten, wenn Sie es schon einmal gemacht haben.

Wann verwenden: Sie haben keinen Serverzugang, um Certbot zu installieren, Sie verwalten eine kleine Anzahl von Domains, oder Sie möchten keine Software installieren.

Methode 2: Automatische Erneuerung mit Certbot

Wenn Certbot auf Ihrem Server installiert ist, erfolgen Erneuerungen automatisch:

# Prüfen, ob die automatische Erneuerung eingerichtet ist
sudo systemctl list-timers | grep certbot

# Manueller Trockenlauf zum Testen
sudo certbot renew --dry-run

# Sofortige Erneuerung erzwingen
sudo certbot renew

Der systemd-Timer (oder Cronjob) von Certbot läuft zweimal täglich und erneuert Zertifikate innerhalb von 30 Tagen vor Ablauf.

Wann verwenden: Sie haben Root-Zugang zum Server und möchten Erneuerungen ohne manuellen Aufwand.

So prüfen Sie, wann Ihr Zertifikat abläuft

# Vom Server aus prüfen
openssl x509 -noout -enddate -in /etc/ssl/gethttps/fullchain.pem

# Aus der Ferne prüfen
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate

Beispielausgabe: notAfter=Aug 5 12:00:00 2026 GMT

Erinnerung setzen

  • Tag 0: Zertifikat ausgestellt (90 Tage gültig)
  • Tag 60: Erneuern (empfohlen — 30 Tage Sicherheitspuffer)
  • Tag 90: Zertifikat läuft ab — Website zeigt Sicherheitswarnung

Setzen Sie eine Kalendererinnerung für Tag 60. Wenn Sie mehrere Domains verwalten, verwenden Sie einen Überwachungsdienst, um bei bevorstehenden Abläufen zu warnen.

Schritt-für-Schritt: Erneuerung mit GetHTTPS

Hier ist der genaue Ablauf für die manuelle Erneuerung:

  1. Aktuellen Ablauf prüfen (optional, aber gute Praxis):

    echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate
  2. Gehen Sie zu gethttps.com/app/setup

  3. Geben Sie die gleiche(n) Domain(s) wie beim ursprünglichen Zertifikat ein

  4. Schließen Sie die Challenge ab — wie beim ersten Mal:

    • HTTP-01: Legen Sie die neue Token-Datei auf Ihrem Server ab
    • DNS-01: Aktualisieren Sie den _acme-challenge-TXT-Eintrag mit dem neuen Wert
  5. Laden Sie die neuen Zertifikatsdateien herunter

  6. Auf Ihrem Server ersetzen:

    sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem
    sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem
  7. Webserver neu laden (nicht neustarten — Neuladen übernimmt neue Dateien, ohne bestehende Verbindungen zu trennen):

    sudo systemctl reload nginx    # Nginx
    sudo systemctl reload apache2  # Apache/Debian
    sudo systemctl reload httpd    # Apache/CentOS
  8. Überprüfen, ob das neue Zertifikat aktiv ist:

    echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates

Gesamtdauer: 2-3 Minuten, wenn Sie es schon einmal gemacht haben.

Erneuerungsvergleich: manuell vs automatisch

GetHTTPS (manuell)Certbot (automatisch)
Aufwand pro Erneuerung2-3 MinutenNull (Cronjob)
Serverzugang erforderlichNur für DateiaustauschVollzugang (Root)
FehlererkennungSie bemerken es, wenn die Seite ausfälltCertbot-Logs + E-Mail bei Fehler möglich
Am besten für1-5 Domains, kein Root-ZugangProduktionsserver, viele Domains
Risiko des VergessensMittel (Erinnerungen setzen!)Gering (automatisiert)

Für Produktionsserver mit Root-Zugang richten Sie Certbot für die automatische Erneuerung ein. Für Umgebungen ohne Root-Zugang ist die manuelle Erneuerung mit GetHTTPS die einzige Option.

Die 47-Tage-Zukunft

Das CA/Browser Forum hat beschlossen, die maximale Zertifikatsgültigkeit zu reduzieren:

InkrafttretenMaximale Gültigkeit
Aktuell90 Tage (Let’s Encrypt)
März 2026200 Tage
März 2027100 Tage
März 202947 Tage

Bis 2029 müssen Sie ungefähr alle 30-35 Tage erneuern. Dies macht die automatische Erneuerung (Certbot) zunehmend wichtiger. Für manuelle Workflows (GetHTTPS) sollten Sie häufigere Erinnerungen einrichten.

Häufig gestellte Fragen

Kann ich vor Ablauf des Zertifikats erneuern?

Ja. Let’s Encrypt erlaubt die Erneuerung jederzeit. Das neue Zertifikat beginnt frisch mit einer neuen 90-Tage-Gültigkeitsperiode. Eine vorzeitige Erneuerung verschwendet keine verbleibende Zeit — sie ersetzt einfach das alte Zertifikat.

Muss ich die Challenge jedes Mal wiederholen?

Ja. Jede Erneuerung erfordert eine neue Domain-Validierungs-Challenge. Dies ist ein Sicherheitsmerkmal — es bestätigt, dass Sie die Domain weiterhin kontrollieren.

Verursacht die Erneuerung eine Ausfallzeit?

Nein, wenn richtig durchgeführt. Laden Sie die neuen Dateien hoch und laden Sie den Webserver neu (nicht neustarten). nginx -s reload und apachectl graceful wenden neue Zertifikate auf neue Verbindungen an, ohne bestehende zu unterbrechen.

Kann ich GetHTTPS für das erste Zertifikat und Certbot für Erneuerungen verwenden?

Ja. Die Zertifikatsdateien haben das Standard-PEM-Format. Sie können das erste Zertifikat mit GetHTTPS generieren und dann Certbot für die laufende automatische Erneuerung installieren. Sie stehen nicht in Konflikt miteinander. Ausführlicher Vergleich →

Was, wenn ich die Erneuerungsfrist verpasst habe und mein Zertifikat abgelaufen ist?

Ihre Website zeigt eine Browser-Sicherheitswarnung an, aber die Lösung ist einfach: Gehen Sie zu GetHTTPS, holen Sie ein neues Zertifikat, ersetzen Sie die Dateien, laden Sie den Server neu. Dauert 5 Minuten. Es gibt keine Strafe von Let’s Encrypt für abgelaufene Zertifikate — holen Sie sich einfach ein neues.

Muss ich beim Erneuern das gleiche Schlüsselpaar verwenden?

Nein. GetHTTPS generiert jedes Mal ein neues Schlüsselpaar, was tatsächlich eine bessere Sicherheitspraxis ist (Schlüsselrotation). Dem Server ist es egal, ob das neue Zertifikat einen anderen Schlüssel verwendet — ersetzen Sie einfach sowohl fullchain.pem als auch privkey.pem zusammen.

Wie erneuere ich ein Wildcard-Zertifikat?

Gleicher Ablauf wie bei der Erstausstellung: Besuchen Sie GetHTTPS, geben Sie *.example.com ein, fügen Sie den neuen _acme-challenge-TXT-Eintrag im DNS hinzu, verifizieren Sie, laden Sie herunter. Sie benötigen jedes Mal DNS-Zugang, da Wildcard-Zertifikate DNS-01 erfordern.

Verwandte Artikel

Erste Schritte 2026-05-08
Kostenloses SSL-Zertifikat erhalten (Schritt-für-Schritt-Anleitung)
Erhalten Sie ein kostenloses SSL-Zertifikat von Let's Encrypt in 5 Minuten — keine Software-Installation, kein Konto erforderlich. Vollständige Anleitung mit 4 Methoden, beiden Challenge-Typen, Installation auf 6 Plattformen und Fehlerbehebung.
Vergleiche 2026-05-08
GetHTTPS vs Certbot: Welches SSL-Tool sollten Sie verwenden?
Ein detaillierter Vergleich von GetHTTPS und Certbot zum Erhalten kostenloser SSL-Zertifikate von Let's Encrypt. Vergleich von Installation, Workflow, Datenschutz, Automatisierung, Erneuerung und Einsatzszenarien.
Bereitstellung 2026-05-08
So installieren Sie ein SSL-Zertifikat auf Nginx
Schritt-für-Schritt-Anleitung zur Installation eines SSL-Zertifikats auf Nginx. Behandelt Dateiupload, vollständige Serverblock-Konfiguration, TLS Best Practices, HTTP/2, HSTS, Weiterleitungs-Setup, Tests und Fehlerbehebung für 6 häufige Fehler.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten