Operaciones

Cómo verificar si Certbot puede renovar correctamente un certificado Let's Encrypt

Una forma rápida de confirmar si la renovación automática de Certbot funcionará antes de que el certificado caduque.

Después de emitir un certificado gratuito de Let’s Encrypt con Certbot, la pregunta más importante es si la renovación automática funcionará.

Los certificados de Let’s Encrypt tienen una validez limitada. Si la renovación falla sin que nadie lo note, HTTPS puede romperse cuando el certificado caduque. Certbot ofrece un modo dry-run para simular la renovación sin reemplazar el certificado real.

Usar Certbot Dry Run

Ejecuta:

1

certbot renew --dry-run

Este comando simula la renovación del certificado. Comprueba si la cuenta actual, el método de validación del dominio, la integración con el servidor web y la configuración de renovación todavía pueden completar el proceso.

Si todo va bien, Certbot mostrará un mensaje similar a:

1

Congratulations, all simulated renewals succeeded

Eso significa que el flujo de renovación funciona en este momento.

Qué Comprueba Dry Run

El dry run no solo revisa el archivo del certificado. También valida el camino completo de renovación:

  • si el dominio todavía puede validarse;
  • si la configuración del servidor web permite el challenge;
  • si Certbot puede leer la configuración de renovación existente;
  • si la cuenta y los plugins de Certbot están disponibles;
  • si los hooks de despliegue o recarga pueden ejecutarse.

Por eso es más útil que revisar únicamente la fecha de caducidad del certificado.

Causas Comunes De Fallo

Si certbot renew --dry-run falla, las causas habituales son:

  • el dominio ya no apunta al servidor;
  • los puertos 80 o 443 están bloqueados;
  • cambió la configuración de Nginx o Apache;
  • la ruta webroot ya no coincide con la configuración de renovación;
  • el firewall bloquea la validación de Let’s Encrypt;
  • falta el plugin de Certbot usado al emitir el certificado;
  • fallan los hooks o comandos de recarga.

Corrige el error indicado por Certbot y vuelve a ejecutar el dry run.

Revisar El Timer De Renovación

En sistemas con systemd, Certbot suele instalar un timer:

1

systemctl status certbot.timer

También puedes listar los timers programados:

1

systemctl list-timers | grep certbot

Si el timer está activo y el dry-run funciona, la renovación automática debería ejecutarse correctamente.

Resumen

Para comprobar si Certbot puede renovar un certificado de Let’s Encrypt, el comando más directo es:

1

certbot renew --dry-run

Conviene ejecutarlo después de cambiar la configuración del servidor web, el firewall, el DNS del dominio o los plugins de Certbot. Esta comprobación sencilla evita que un certificado caducado rompa HTTPS por sorpresa.

© 2022 - 2026 KnightLi Blog
记录并分享
Creado con Hugo
Tema Stack diseñado por Jimmy