Actualizar los certificados ssl de Letsencrypt

Hace poco más de tres meses que lanzamos esta web, por lo que hoy mismo ha tocado renovar el certificado de seguridad.

Como tal vez recuerden, o tal vez no, nuestro certificado proviene de Let’s Encrypt, una autoridad certificadora gratuita y de código abierto, que permite generar certificados de seguridad para nuestras páginas webs, con coste cero.

La única pega de estos certificados es que tan sólo tienen un tiempo de vida de 3 meses (medida que sin duda se habrá tomado para evitar abusos del sistema, que ya se sabe que lo que es gratis …), pasado ese tiempo hay que renovar el certificado, si no queremos asustar a nuestros visitantes con el maldito mensaje de ‘su navegador ha detectado que este sitio no es seguro’.

Pues bien, confieso que estaba un pelín preocupado por cómo sería la renovación del certificado, pero después de hacerla ya os digo que no es nada dificil y que se tarda más en escribir este entrada, que en renovar el certificado ssl de let’s encrypt.

En mi caso, ha sido entrar a la carpeta que en su día descargué de github, y ejecutar el ‘actualizador’. Si borrasteis la carpeta, tocará volver a bajarla con ‘git clone’.

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto --help

Se pondrá a descargar un montón de dependencias que necesita, usando la paquetería del sistema (apt-get o yum), y al rato terminará mostrando la ayuda.

[email protected]:~/src/letsencrypt# ./letsencrypt-auto --help
Updating letsencrypt and virtual environment dependencies......
Requesting root privileges to run with virtualenv: /root/.local/share/letsencryp                                                                                                                                                             t/bin/letsencrypt --help

  letsencrypt-auto [SUBCOMMAND] [options] [-d domain] [-d domain] ...

The Let's Encrypt agent can obtain and install HTTPS/TLS/SSL certificates.  By
default, it will attempt to use a webserver both for obtaining and installing
the cert. Major SUBCOMMANDS are:

  (default) run        Obtain & install a cert in your current webserver
  certonly             Obtain cert, but do not install it (aka "auth")
  install              Install a previously obtained cert in a server
  renew                Renew previously obtained certs that are near expiry
  revoke               Revoke a previously obtained certificate
  rollback             Rollback server configuration changes made during install
  config_changes       Show changes made to server config during installation
  plugins              Display information about installed plugins

Choice of server plugins for obtaining and installing cert:

  --apache          Use the Apache plugin for authentication & installation
  --standalone      Run a standalone webserver for authentication
  (nginx support is experimental, buggy, and not installed by default)
  --webroot         Place files in a server's webroot folder for authentication

OR use different plugins to obtain (authenticate) the cert and then install it:

  --authenticator standalone --installer apache

More detailed help:

  -h, --help [topic]    print this message, or detailed help on a topic;
                        the available topics are:

   all, automation, paths, security, testing, or any of the subcommands or
   plugins (certonly, install, nginx, apache, standalone, webroot, etc)

En la salida del anterior comando vemos la opción ‘renew’ , que promete ‘Renew previously obtained certs that are near expiry’.

Nuestro certificado ya ha caducado, pero ignoramos ese detalle y lanzamos la renovación:

[email protected]:~/src/letsencrypt# ./letsencrypt-auto renew
Updating letsencrypt and virtual environment dependencies......
Requesting root privileges to run with virtualenv: /root/.local/share/letsencrypt/bin/letsencrypt renew

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/www.ereborlog.eu.conf
-------------------------------------------------------------------------------

-------------------------------------------------------------------------------
new certificate deployed with reload of apache server; fullchain is
/etc/letsencrypt/live/www.ereborlog.eu/fullchain.pem
-------------------------------------------------------------------------------

Congratulations, all renewals succeeded. The following certs have been renewed:
  /etc/letsencrypt/live/www.ereborlog.eu/fullchain.pem (success)

 

Y ya está, aparentemente no hay que tocar nada más, ni el apache ni nada de nada. Easy, fast and smooth :-).

Toda esta información, y otras opciones más específicas para let’s encrypt, se encuentra en la web oficial del proyecto.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

8 + 3 =