Renovar el certificado SSL de Let’s Encrypt

La página Devoogle utiliza un certificado SSL de Let’s Encrypt. Tras recibir varios emails en los que se me advertía de la proximidad de la fecha de expiración del certificado (10 días), me puse manos a la obra para renovarlo.

Si quieres ampliar información, el 26 de Marzo de 2017, escribí un artículo sobre como Instalar un certificado SSL dese 0.

Más información. El día 17 de Junio de 2019, escribí un artículo que corregía un error en la renovación del certificado SSL.

El proceso, es sencillo. Lo primero ha sido acceder vía ssh a la VPS en la que está la página. Una vez ahí, lo primero fue probar suerte con el comando para renovar el certificado automáticamente, para ver si en realidad era todo tan mágico.

~# certbot renew

Pero, me encontré con un problema:

Saving debug log to /var/log/letsencrypt/letsencrypt.log

— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -
Processing /……/letsencrypt/renewal/www.devoogle.com.conf
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -
Cert is due for renewal, auto-renewing…
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.
Attempting to renew cert from /……/letsencrypt/renewal/www.devoogle.com.conf produced an unexpected error: Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.. Skipping.

All renewal attempts failed. The following certs could not be renewed:
/……/letsencrypt/live/www.devoogle.com/fullchain.pem (failure)
1 renew failure(s), 0 parse failure(s)

“Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.”

Este problema, o uno muy similar, recordé que ya me había pasado anteriormente precisamente con este mismo certificado, así que fui a buscar lo que escribí sobre ello en el artículo titulado “Instalar un certificado SSl desde 0” en el que tenía anotada la solución y la razón del problema.

Una vez leído, lo que había que hacer era configurar nuevamente el certificado.

• Descargar cerbot:

~# wget https://dl.eff.org/certbot-auto

• Dar permisos de ejecución al archivo descargado:

~# chmod a+x ./certbot-auto

• Instalar cerbot de manera automática:

~# ./certbot-auto
Creating virtual environment…
Installing Python packages…
Installation succeeded.

• Revisar, por curiosidad, la versión instalada:

~# ./certbot-auto — version
certbot 0.33.0

• Proceder a la renovación del certificado:

./certbot-auto renew

Saving debug log to /var/log/letsencrypt/letsencrypt.log

- — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -
Processing /……/letsencrypt/renewal/www.devoogle.com.conf
- — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -
Cert is due for renewal, auto-renewing…
Plugins selected: Authenticator apache, Installer apache
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for www.devoogle.com
Waiting for verification…
Cleaning up challenges

- — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -
new certificate deployed with reload of apache server; fullchain is
/……/letsencrypt/live/www.devoogle.com/fullchain.pem
- — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -

- — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -

Congratulations, all renewals succeeded. The following certs have been renewed:
/……/letsencrypt/live/www.devoogle.com/fullchain.pem (success)
- — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -

Congratulations, all renewals succeeded

Efectivamente, tras comprobarlo, está todo correcto.

Renovación del certificado SSL para www.devoogle.com

¡Estupendo! Pero, recuerdo que la vez anterior que tuve que renovar el certificado, lo hice por un año. Actualmente, Let’s Encrypt se renueva por 90 días, aconsejando la renovación cuando quede más o menos un tercio del tiempo, es decir, unos 30 días. Tal y como dicen en el email que envían:

We recommend renewing certificates automatically when they have a third of their total lifetime left. For Let’s Encrypt’s current 90-day certificates, that means renewing 30 days before expiration.

Así que está claro, el próximo paso es ver si de alguna forma podemos automatizar este proceso para evitar tener que estar pendiente del mismo.

Eso es todo, cualquier comentario, sugerencia o corrección es bienvenida.

¡Chimpún!

Bibliografía

• Intalar un certificado SSL desde 0, por Manu Pijierro