Let’s Encrypt Backup- und Wiederherstellungsstrategien

🎯 Ziel

Let’s Encrypt ist eine der beliebtesten kostenlosen Zertifizierungsstellen (CAs), die die Websicherheit durch automatische SSL-Zertifikate vereinfacht. Im Falle von Systemabstürzen, VPS-Wechseln oder Fehlkonfigurationen ist es jedoch entscheidend, die manuelle Sicherung und Wiederherstellung zu beherrschen.

1️⃣ Verzeichnisstruktur von Let’s Encrypt

2️⃣ Gesamtsicherung der Zertifikate (Gesamtsystem)

#!/bin/bash
set -e
BACKUP_DIR="/root/letsencrypt-backups"
mkdir -p "$BACKUP_DIR"
TIMESTAMP=$(date +%Y%m%d-%H%M%S)
FILENAME="letsencrypt-$TIMESTAMP.tar.gz"
tar -czf "$BACKUP_DIR/$FILENAME" /etc/letsencrypt
echo "✔ Backup abgeschlossen: $BACKUP_DIR/$FILENAME"

3️⃣ Nur ein bestimmter Domain sichern

DOMAIN="beispiel.de"
tar -czf letsencrypt-$DOMAIN.tar.gz \
  /etc/letsencrypt/live/$DOMAIN \
  /etc/letsencrypt/archive/$DOMAIN \
  /etc/letsencrypt/renewal/$DOMAIN.conf

4️⃣ Wiederherstellung (auf neuem Server)

scp letsencrypt-*.tar.gz root@192.168.1.20:/root/
tar -xzf letsencrypt-*.tar.gz -C /
chown -R root:root /etc/letsencrypt
chmod -R 750 /etc/letsencrypt
systemctl restart nginx
certbot certificates

5️⃣ Certbot-Erneuerungsautomation überprüfen

systemctl list-timers | grep certbot
systemctl enable --now certbot.timer

6️⃣ Backups mit GPG verschlüsseln (Optional)

gpg -c /root/letsencrypt-backups/letsencrypt-20251014.tar.gz

7️⃣ Automatische Cloud-Backups mit AWS S3 oder Google Drive (Optional)

rclone copy $ARCHIVE remote:letsencrypt-backups/

8️⃣ DNS-Challenge mit acme.sh (Alternative Methode)

curl https://get.acme.sh | sh
~/.acme.sh/acme.sh --issue --dns dns_cf -d "hmyn.net" -d "*.hmyn.net"

🔚 Fazit

Auch wenn Let’s Encrypt in den meisten Fällen automatisch funktioniert, sollte jeder Systemadministrator in der Lage sein, Zertifikatsdateien bei Bedarf manuell zu sichern und wiederherzustellen.