¿Cómo renuevo un certificado SSL de Let's Encrypt en una pila de Bitnami alojada en una instancia de Lightsail?

Descripción breve

Los certificados SSL de Let's Encrypt caducan 90 días después de su creación. Los certificados estándar se renuevan automáticamente cuando usas ¿Cómo instalo un certificado SSL de Let's Encrypt en una pila de Bitnami alojada en Lightsail? Sin embargo, la renovación automática puede fallar si el certificado no está configurado correctamente.

Si has instalado un certificado comodín Let's Encrypt según el método 2 en ¿Cómo instalo un certificado SSL comodín Let's Encrypt en una pila Bitnami alojada en Amazon Lightsail?, entonces tendrás que renovar el certificado manualmente. El método 2 no admite la renovación automática.

La siguiente solución explica cómo renovar un certificado manualmente en instancias de Lightsail alojadas en Bitnami, como WordPress, LAMP, Magento y MEAN.

Resolución

Identificación de la herramienta de instalación de certificados

Identifica la herramienta que utilizaste para instalar el certificado. Para identificar la herramienta que usó para instalar el certificado SSL, haz lo siguiente:

1. Ejecuta el siguiente comando para buscar el archivo de certificado en los directorios /etc/letsencrypt y /opt/bitnami/letsencrypt. No olvides sustituir DOMINIO por el nombre de tu dominio.

   sudo grep -irl "$(openssl s_client -verify_quiet -showcerts -connect DOMAIN:443 2>/dev/null | sed -n '/BEGIN/,/END/{p;/END/q}' | head -n 3 | tail -n 2)" /opt/bitnami/letsencrypt /etc/letsencrypt

2. Si el archivo del certificado está dentro de los subdirectorios de /opt/bitnami/letsencrypt, es probable que el certificado se haya instalado con bncert-tool o un cliente Lego. Para ello, ejecuta el comando siguiente:

   sudo /opt/bitnami/letsencrypt/lego --path /opt/bitnami/letsencrypt list

Si el resultado del comando del paso 1 coincide con la ruta del certificado proporcionada por el segundo comando, significa que tu certificado se instaló con bncert-tool o Lego.

Si el archivo del certificado está dentro de los subdirectorios de /etc/letsencrypt, es probable que el certificado se haya instalado con Certbot. Para ello, ejecuta el comando siguiente:

sudo certbot certificates

Si el resultado del comando del paso 1 coincide con la ruta del certificado proporcionada por el comando certbot, significa que tu certificado se instaló con Certbot.

Según la herramienta identificada, sigue los pasos de solución relacionados.

Renueva un certificado de Let's Encrypt instalado con bncert-tool o una herramienta Lego

Ejecuta los siguientes comandos:

sudo /opt/bitnami/ctlscript.sh stop

sudo /opt/bitnami/letsencrypt/lego --tls --email="EMAIL-ADDRESS" --domains="DOMAIN" --path="/opt/bitnami/letsencrypt" renew --days 90

Nota: Reemplaza DIRECCIÓN DE CORREO ELECTRÓNICO y usa cualquiera de tus direcciones de correo electrónico de trabajo. O bien, usa la misma dirección de correo electrónico que usaste al instalar el certificado. Sustituye DOMAIN por tu nombre de dominio.

sudo /opt/bitnami/ctlscript.sh start

Puedes recuperar el correo electrónico que utilizaste para instalar el certificado con el siguiente comando:

sudo ls /opt/bitnami/letsencrypt/accounts/acm*

Si es necesario, confirma el nombre de dominio con el siguiente comando:

sudo /opt/bitnami/letsencrypt/lego --path /opt/bitnami/letsencrypt list

Renovación de un certificado de Let's Encrypt instalado con la herramienta Certbot

Ejecuta el siguiente comando para determinar el método de autenticación que utilizaste para instalar el certificado:

sudo cat /etc/letsencrypt/renewal/DOMAIN.conf

**Nota:**Sustituye DOMINIO por el nombre de dominio principal de tu certificado.

En el resultado del comando, consulta el valor del parámetro de autenticación. Según el valor, sigue uno de los siguientes métodos de renovación:

Si el valor del parámetro de autenticación es standalone, webroot, apache, nginx, dns-route53 o cualquier otro valor que no sea manual, completa la renovación con los siguientes comandos:

sudo /opt/bitnami/ctlscript.sh stop
sudo certbot renew
sudo /opt/bitnami/ctlscript.sh start

Estos comandos renuevan todos los certificados instalados que se van a renovar.

• o -

Si el valor del parámetro de autenticación es manual y el valor del parámetro pref_challs es dns, no se puede configurar la renovación automática. Debes renovarlo manualmente siguiendo los siguientes pasos. Nota: Debes repetir este paso cada vez que renueves el certificado.

1. Este método requiere que añadas registros TXT en el proveedor de DNS del dominio. Se recomienda ejecutar los comandos en Linux GNU Screen para evitar que se agote el tiempo de espera de la sesión. Para más información, consulta Cómo usar Linux Screen en el sitio web de Linuxize.
   Para iniciar una sesión en Screen, introduce el siguiente comando:

   screen -S letsencrypt

2. Ejecuta el siguiente comando y busca el valor de parámetro Dominios. Sustituye DOMINIO por el nombre de dominio principal de tu certificado:

   sudo certbot certificates -d DOMAIN

3. Ejecuta el siguiente comando para renovar el certificado. Asegúrate de incluir todos los dominios que encontraste en el comando anterior con la opción \ -d en el mismo orden. Si agregas, eliminas o cambias el orden de los dominios, es posible que se cree un nuevo certificado en lugar de renovar el original.

   sudo certbot certonly --manual --preferred-challenge dns -d DOMAIN-1 -d DOMAIN-2 --force-renewal

4. Recibirás un mensaje para comprobar si tienes la propiedad del dominio especificado. Esta verificación consiste en añadir registros TXT a los registros DNS de tu dominio. Let's Encrypt proporciona uno o varios registros TXT que debes usar para la verificación.

5. Cuando veas un registro TXT en la pantalla, agrega el registro proporcionado en el DNS de tu dominio.
   Importante: No presiones Intro hasta que confirmes que el registro TXT se ha propagado al DNS de Internet. No presiones CTRL + D porque esto finaliza la sesión de pantalla actual.

6. Para confirmar que el registro TXT se propaga al DNS de Internet, búscalo en DNS Text Lookup en el sitio web de MX Toolbox. Introduce lo siguiente en el cuadro de texto:

   _acme-challenge.example.com

   Nota: Sustituye ejemplo.com por tu dominio.

7. Elige TXT Lookup para ejecutar la comprobación.

8. Si tus registros TXT se propagaron al DNS de Internet, verás el valor del registro TXT en la página. Vuelve a la pantalla y pulsa INTRO.

9. Si te eliminan del shell, vuelve a través de la pantalla de comandos screen -r SESSIONID.

10. Obtén el id. de sesión: Ejecuta el comando screen -ls.

11. Si la petición de Certbot te pide que añadas otro registro TXT, vuelve a completar los pasos 5 a 8.

Cuando el certificado SSL se genere correctamente, recibirás el siguiente mensaje: «Certificado recibido correctamente».