New user sign up using AWS Builder ID
New user sign up using AWS Builder ID is currently unavailable on re:Post. To sign up, please use the AWS Management Console instead.
¿Cómo renuevo un certificado SSL de Let's Encrypt en una pila de Bitnami alojada en una instancia de Lightsail?
El certificado SSL de Let's Encrypt instalado para mi sitio web en una instancia de Bitnami de Amazon Lightsail está a punto de caducar.
Descripción breve
Los certificados SSL de Let's Encrypt caducan 90 días después de su creación. Si ha instalado un certificado Let's Encrypt estándar siguiendo los pasos que se indican en ¡Cómo instalo un certificado SSL de Let's Encrypt en una pila de Bitnami alojada en Lightsail?, entonces el certificado SSL se renovará automáticamente. Sin embargo, la renovación automática puede fallar si no está configurada correctamente.
Si ha instalado un certificado comodín Let's Encrypt según el método 2 en ¿Cómo instalo un certificado SSL comodín Let's Encrypt en una pila Bitnami alojada en Amazon Lightsail?, entonces tendrá que renovar el certificado manualmente. El método 2 no admite la renovación automática.
La siguiente solución explica cómo renovar un certificado manualmente en instancias de Lightsail alojadas en Bitnami, como WordPress, LAMP, Magento y MEAN.
Resolución
Identificar la herramienta de instalación de certificados
Identifique la herramienta que utilizó para instalar el certificado. Para identificar la herramienta que usó para instalar el certificado SSL, haga lo siguiente:
-
Ejecute el siguiente comando para buscar el archivo de certificado en los directorios /etc/letsencrypt y /opt/bitnami/letsencrypt. No olvide sustituir DOMINIO por el nombre de su dominio.
sudo grep -irl "$(openssl s_client -verify_quiet -showcerts -connect DOMAIN:443 2>/dev/null | sed -n '/BEGIN/,/END/{p;/END/q}' | head -n 3 | tail -n 2)" /opt/bitnami/letsencrypt /etc/letsencrypt
-
Si el archivo del certificado está dentro de los subdirectorios de /opt/bitnami/letsencrypt, es probable que el certificado se haya instalado con bncert-tool o un cliente Lego. Para ello, ejecute el comando siguiente:
sudo /opt/bitnami/letsencrypt/lego --path /opt/bitnami/letsencrypt list
Si el resultado del comando del paso 1 coincide con la ruta del certificado proporcionada por el segundo comando, significa que su certificado se instaló con bncert-tool o Lego.
Si el archivo del certificado está dentro de los subdirectorios de /etc/letsencrypt, es probable que el certificado se haya instalado con Certbot. Para ello, ejecute el comando siguiente:
sudo certbot certificates
Si el resultado del comando del paso 1 coincide con la ruta del certificado proporcionada por el comando certbot, significa que su certificado se instaló con Certbot.
Según la herramienta identificada, siga los pasos de solución relacionados.
Renueve un certificado de Let's Encrypt instalado con bncert-tool o una herramienta Lego
Ejecute los siguientes comandos:
sudo /opt/bitnami/ctlscript.sh stop
sudo /opt/bitnami/letsencrypt/lego --tls --email="EMAIL-ADDRESS" --domains="DOMAIN" --path="/opt/bitnami/letsencrypt" renew --days 90
sudo /opt/bitnami/ctlscript.sh start
Para todos los comandos, sustituya DIRECCIÓN DE CORREO ELECTRÓNICO y DOMINIO por los valores correctos. Para DIRECCIÓN DE CORREO ELECTRÓNICO, utilice cualquiera de sus direcciones de correo electrónico de trabajo. O bien use la misma dirección de correo electrónico que usó cuando instaló el certificado. Puede recuperar el correo electrónico que utilizó para instalar el certificado con el siguiente comando:
sudo ls /opt/bitnami/letsencrypt/accounts/acm*
Si es necesario, confirme el nombre de dominio con el siguiente comando:
sudo /opt/bitnami/letsencrypt/lego --path /opt/bitnami/letsencrypt list
Renueve un certificado de Let's Encrypt instalado con la herramienta Certbot
Ejecute el siguiente comando para determinar el método de autenticación que utilizó para instalar el certificado. Sustituya DOMINIO por el nombre de dominio principal de su certificado:
sudo cat /etc/letsencrypt/renewal/DOMAIN.conf
En el resultado del comando, consulte el valor del parámetro de autenticación. Según el valor, siga uno de los siguientes métodos de renovación:
Si el valor del parámetro de autenticación es standalone, webroot, apache, nginx, dns-route53 o cualquier otro valor que no sea manual, complete la renovación con los siguientes comandos:
sudo /opt/bitnami/ctlscript.sh stop sudo certbot renew sudo /opt/bitnami/ctlscript.sh start
Estos comandos renuevan todos los certificados instalados que se van a renovar.
- o -
Si el valor del parámetro de autenticación es manual y el valor del parámetro pref_challs es dns, no se puede configurar la renovación automática. Debe renovarlo manualmente siguiendo los siguientes pasos. Nota: Debe repetir este paso cada vez que renueve el certificado.
-
Este método requiere que añada registros TXT en el proveedor de DNS del dominio. Se recomienda ejecutar los comandos en Linux GNU Screen para evitar que se agote el tiempo de espera de la sesión. Para obtener más información, consulte How To Use Linux Screen.
Para iniciar una sesión en Screen, introduzca el siguiente comando:screen -S letsencrypt
-
Ejecute el siguiente comando y busque el valor de parámetro Dominios. Sustituya DOMINIO por el nombre de dominio principal de su certificado:
sudo certbot certificates -d DOMAIN
-
Ejecute el siguiente comando para renovar el certificado. Asegúrese de incluir todos los dominios que encontró en el comando anterior con la opción \ -d en el mismo orden. Si agrega, elimina o cambia el orden de los dominios, es posible que se cree un nuevo certificado en lugar de renovar el original.
sudo certbot certonly --manual --preferred-challenge dns -d DOMAIN-1 -d DOMAIN-2 --force-renewal
-
Recibirá un mensaje para comprobar que es el propietario del dominio especificado. Esta verificación consiste en añadir registros TXT a los registros DNS de su dominio. Let's Encrypt proporciona uno o varios registros TXT que debe usar para la verificación.
-
Cuando vea un registro TXT en la pantalla, agregue el registro proporcionado en el DNS de tu dominio.
Importante: No presione Intro hasta que confirme que el registro TXT se ha propagado al DNS de Internet. No presione CTRL + D porque esto finaliza la sesión de pantalla actual. -
Para confirmar que el registro TXT se propaga al DNS de Internet, búsquelo en DNS Text Lookup en el sitio web de MX Toolbox. Introduzca el siguiente texto en el cuadro de texto y seleccione TXT Lookup para ejecutar la comprobación. Sustituya example.com por su nombre de dominio:
_acme-challenge.example.com
-
Si sus registros TXT se propagaron al DNS de Internet, verá el valor del registro TXT en la página. Ahora puede volver a la pantalla y pulsar INTRO.
-
Si se le elimina del shell, vuelva a través de la pantalla de comandos screen -r SESSIONID. Ejecute el comando screen -ls para obtener el ID de sesión.
-
Si el mensaje de Certbot le pide que añada otro registro TXT, vuelva a completar los pasos 5 a 8.
-
Cuando el certificado SSL se genere correctamente, recibirá el mensaje «Certificado recibido correctamente».

Contenido relevante
- preguntada hace un meslg...
- preguntada hace 14 díaslg...
- preguntada hace 2 meseslg...
- preguntada hace 20 díaslg...
- preguntada hace un meslg...
- OFICIAL DE AWSActualizada hace 10 meses
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 10 meses
- OFICIAL DE AWSActualizada hace un año