https://www.knightli.com/es/tags/letsencrypt/ Recent content in Letsencrypt on KnightLi Blog Hugo -- gohugo.io es Thu, 08 Dec 2022 00:00:00 +0000 https://www.knightli.com/es/2022/12/08/certbot-renewal-dry-run/ Thu, 08 Dec 2022 00:00:00 +0000 https://www.knightli.com/es/2022/12/08/certbot-renewal-dry-run/ <p>Después de emitir un certificado gratuito de Let&rsquo;s Encrypt con Certbot, la pregunta más importante es si la renovación automática funcionará.</p> <p>Los certificados de Let&rsquo;s Encrypt tienen una validez limitada. Si la renovación falla sin que nadie lo note, HTTPS puede romperse cuando el certificado caduque. Certbot ofrece un modo dry-run para simular la renovación sin reemplazar el certificado real.</p> <h2 id="usar-certbot-dry-run">Usar Certbot Dry Run </h2><p>Ejecuta:</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">certbot renew --dry-run </span></span></code></pre></td></tr></table> </div> </div><p>Este comando simula la renovación del certificado. Comprueba si la cuenta actual, el método de validación del dominio, la integración con el servidor web y la configuración de renovación todavía pueden completar el proceso.</p> <p>Si todo va bien, Certbot mostrará un mensaje similar a:</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-text" data-lang="text"><span class="line"><span class="cl">Congratulations, all simulated renewals succeeded </span></span></code></pre></td></tr></table> </div> </div><p>Eso significa que el flujo de renovación funciona en este momento.</p> <h2 id="qué-comprueba-dry-run">Qué Comprueba Dry Run </h2><p>El dry run no solo revisa el archivo del certificado. También valida el camino completo de renovación:</p> <ul> <li>si el dominio todavía puede validarse;</li> <li>si la configuración del servidor web permite el challenge;</li> <li>si Certbot puede leer la configuración de renovación existente;</li> <li>si la cuenta y los plugins de Certbot están disponibles;</li> <li>si los hooks de despliegue o recarga pueden ejecutarse.</li> </ul> <p>Por eso es más útil que revisar únicamente la fecha de caducidad del certificado.</p> <h2 id="causas-comunes-de-fallo">Causas Comunes De Fallo </h2><p>Si <code>certbot renew --dry-run</code> falla, las causas habituales son:</p> <ul> <li>el dominio ya no apunta al servidor;</li> <li>los puertos 80 o 443 están bloqueados;</li> <li>cambió la configuración de Nginx o Apache;</li> <li>la ruta webroot ya no coincide con la configuración de renovación;</li> <li>el firewall bloquea la validación de Let&rsquo;s Encrypt;</li> <li>falta el plugin de Certbot usado al emitir el certificado;</li> <li>fallan los hooks o comandos de recarga.</li> </ul> <p>Corrige el error indicado por Certbot y vuelve a ejecutar el dry run.</p> <h2 id="revisar-el-timer-de-renovación">Revisar El Timer De Renovación </h2><p>En sistemas con systemd, Certbot suele instalar un timer:</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">systemctl status certbot.timer </span></span></code></pre></td></tr></table> </div> </div><p>También puedes listar los timers programados:</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">systemctl list-timers <span class="p">|</span> grep certbot </span></span></code></pre></td></tr></table> </div> </div><p>Si el timer está activo y el dry-run funciona, la renovación automática debería ejecutarse correctamente.</p> <h2 id="resumen">Resumen </h2><p>Para comprobar si Certbot puede renovar un certificado de Let&rsquo;s Encrypt, el comando más directo es:</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">certbot renew --dry-run </span></span></code></pre></td></tr></table> </div> </div><p>Conviene ejecutarlo después de cambiar la configuración del servidor web, el firewall, el DNS del dominio o los plugins de Certbot. Esta comprobación sencilla evita que un certificado caducado rompa HTTPS por sorpresa.</p>