Все руководства для начинающих Начало работы

Как продлить сертификат Let's Encrypt

Сертификаты Let’s Encrypt действительны 90 дней. Рекомендуется продлевать до 60-го дня, чтобы оставить запас. Вот как продлить с помощью GetHTTPS (вручную) и Certbot (автоматически).

Метод 1: Продление через GetHTTPS (вручную)

Повторите те же шаги, которые вы использовали для получения исходного сертификата:

  1. Перейдите на gethttps.com/app/setup
  2. Введите те же домен(ы)
  3. Пройдите HTTP-01 или DNS-01 проверку (как и раньше)
  4. Скачайте новые файлы сертификата
  5. Замените старые файлы на сервере:
    sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem
    sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem
    sudo systemctl reload nginx  # или apache2/httpd

Время: 2-3 минуты, когда вы уже делали это раньше.

Когда использовать: У вас нет доступа к серверу для установки Certbot, вы управляете небольшим количеством доменов или предпочитаете не устанавливать программное обеспечение.

Метод 2: Автоматическое продление с Certbot

Если Certbot установлен на вашем сервере, продление происходит автоматически:

# Проверьте, настроено ли автопродление
sudo systemctl list-timers | grep certbot

# Тестовый запуск вхолостую
sudo certbot renew --dry-run

# Принудительное продление сейчас
sudo certbot renew

Таймер systemd (или cron-задание) Certbot запускается дважды в день и продлевает сертификаты в течение 30 дней до истечения срока.

Когда использовать: У вас есть root-доступ к серверу и вы хотите автоматическое продление без вмешательства.

Как проверить, когда истекает ваш сертификат

# Проверка с сервера
openssl x509 -noout -enddate -in /etc/ssl/gethttps/fullchain.pem

# Проверка удалённо
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate

Пример вывода: notAfter=Aug 5 12:00:00 2026 GMT

Установите напоминание

  • День 0: Сертификат выпущен (действителен 90 дней)
  • День 60: Продление (рекомендуется --- 30-дневный запас)
  • День 90: Сертификат истекает --- сайт показывает предупреждение безопасности

Установите напоминание в календаре на 60-й день. Если вы управляете несколькими доменами, используйте сервис мониторинга для оповещений о приближающихся истечениях.

Пошаговое продление с GetHTTPS

Вот точный процесс для ручного продления:

  1. Проверьте текущий срок действия (необязательно, но полезно):

    echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate
  2. Перейдите на gethttps.com/app/setup

  3. Введите те же домен(ы), что и в исходном сертификате

  4. Пройдите проверку --- так же, как в первый раз:

    • HTTP-01: разместите новый файл-токен на сервере
    • DNS-01: обновите TXT-запись _acme-challenge новым значением
  5. Скачайте новые файлы сертификата

  6. Замените на сервере:

    sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem
    sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem
  7. Перезагрузите веб-сервер (именно reload, а не restart --- reload подхватывает новые файлы без разрыва существующих соединений):

    sudo systemctl reload nginx    # Nginx
    sudo systemctl reload apache2  # Apache/Debian
    sudo systemctl reload httpd    # Apache/CentOS
  8. Проверьте, что новый сертификат активен:

    echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates

Общее время: 2-3 минуты, когда вы уже делали это раньше.

Сравнение продления: вручную vs автоматически

GetHTTPS (вручную)Certbot (автоматически)
Затраты времени на продление2-3 минутыНоль (cron-задание)
Доступ к серверуТолько для замены файловПолный доступ (root)
Обнаружение сбоевВы замечаете, когда сайт ломаетсяЛоги Certbot + может отправить email при ошибке
Лучше всего для1-5 доменов, без root-доступаПродакшен-серверы, много доменов
Риск забытьСредний (установите напоминания!)Низкий (автоматизировано)

Для продакшен-серверов с root-доступом настройте Certbot для автоматического продления. Для окружений без root-доступа ручное продление через GetHTTPS --- единственный вариант.

Будущее с 47-дневными сертификатами

CA/Browser Forum проголосовал за сокращение максимального срока действия сертификатов:

Дата вступления в силуМаксимальный срок действия
Текущий90 дней (Let’s Encrypt)
Март 2026200 дней
Март 2027100 дней
Март 202947 дней

К 2029 году вам нужно будет продлевать примерно каждые 30-35 дней. Это делает автоматическое продление (Certbot) всё более важным. Для ручных процессов (GetHTTPS) рекомендуется настроить более частые напоминания.

Часто задаваемые вопросы

Можно ли продлить до истечения сертификата?

Да. Let’s Encrypt позволяет продление в любое время. Новый сертификат начинает действовать заново с новым 90-дневным сроком. Досрочное продление не тратит оставшееся время --- оно просто заменяет старый сертификат.

Нужно ли заново проходить проверку каждый раз?

Да. Каждое продление требует новой проверки владения доменом. Это мера безопасности --- она подтверждает, что вы по-прежнему контролируете домен.

Приведёт ли продление к простою?

Нет, если сделать правильно. Загрузите новые файлы и выполните reload (не restart) веб-сервера. nginx -s reload и apachectl graceful применяют новые сертификаты к новым соединениям без разрыва существующих.

Можно ли использовать GetHTTPS для первого сертификата, а Certbot для продления?

Да. Файлы сертификатов имеют стандартный формат PEM. Вы можете сгенерировать первый сертификат с GetHTTPS, а затем установить Certbot для автоматического продления. Они не конфликтуют. Подробное сравнение ->

Что делать, если я пропустил срок продления и сертификат истёк?

Ваш сайт покажет предупреждение безопасности в браузере, но исправить это просто: перейдите на GetHTTPS, получите новый сертификат, замените файлы, перезагрузите сервер. Занимает 5 минут. Let’s Encrypt не накладывает штрафов за истечение сертификата --- просто получите новый.

Нужно ли использовать ту же пару ключей при продлении?

Нет. GetHTTPS каждый раз генерирует новую пару ключей, что на самом деле является лучшей практикой безопасности (ротация ключей). Серверу всё равно, использует ли новый сертификат другой ключ --- просто замените и fullchain.pem, и privkey.pem одновременно.

Как продлить wildcard-сертификат?

Тот же процесс, что и при первоначальном выпуске: откройте GetHTTPS, введите *.example.com, добавьте новую TXT-запись _acme-challenge в DNS, подтвердите, скачайте. Каждый раз нужен доступ к DNS, потому что wildcard-сертификаты требуют DNS-01.

Похожие статьи

Начало работы 2026-05-08
Как получить бесплатный SSL-сертификат (пошаговое руководство)
Получите бесплатный SSL-сертификат от Let's Encrypt за 5 минут --- без установки программ, без создания аккаунта. Полное руководство: 4 метода, оба типа проверки, установка на 6 платформах и устранение неполадок.
Сравнение 2026-05-08
GetHTTPS vs Certbot: какой инструмент для SSL выбрать?
Подробное сравнение GetHTTPS и Certbot для получения бесплатных SSL-сертификатов от Let's Encrypt. Сравнение установки, рабочего процесса, конфиденциальности, автоматизации, продления и сценариев использования.
Развёртывание 2026-05-08
Как установить SSL-сертификат на Nginx
Пошаговое руководство по установке SSL-сертификата на Nginx. Охватывает загрузку файлов, полную конфигурацию серверного блока, лучшие практики TLS, HTTP/2, HSTS, настройку редиректов, тестирование и устранение 6 распространённых ошибок.
Получите бесплатный SSL-сертификат в браузере
Без установки, без аккаунта. Ваш приватный ключ никогда не покидает устройство.
Получить сертификат