С тех пор как гугл стал всех активно принуждать к SSL, количество граблей для обывателя сильно выросло. Безусловно сервис бесплатных сертификатов "Let's Encrypt" спасает, но с обновлением сертификата есть пара типовых граблей.
Рассмотрю на примере Ubuntu, в других дистрибутивах все по-другому, но схоже :) Первое получение сертификата опускаю, инструкций и так хватает. Настройку SSL на веб-сервере аналогично.
Многие, включая меня, считают, что прокликав сertbot в консоли и настроив свой конфиг SSL (а не автоматический от сertbot'а), нужно, как порядочному админу, пойти и поставить в сron обновлялку сертификатов, чтоб не делать это руками. Не надо, все уже сделано для нас, просто нужно
systemctl enable --now certbot.timer
и оно будет делать все само, каждый день, дважды.
Вроде обновление настроено, попытка обновить в ручную говорит, что обновление не требуется, тк все обновлено. Но веб сервер-то никто не перезапустил! Первая классическо-админская мысль - поставить в сron перезапускалку. Но стойте, тут тоже все уже сделано за нас. Идем в /etc/letsencrypt/cli.ini и добавляем строчку
deploy-hook = systemctl reload nginx
Ну или тот сервер, который у вас. Теперь после обновления сертификата оно и сервер перезапустит. В принципе, все для людей, но могли как-то поярче бы написать в официальной инструкции.
Ссылки по теме: