Generación de un certificado de seguridad SSL Let's Encrypt


#1

Please fill out the fields below so we can help you better. Note: you must provide your domain name to get help. Domain names for issued certificates are all made public in Certificate Transparency logs (e.g. https://crt.sh/?q=example.com), so withholding your domain name here does not increase secrecy, but only makes it harder for us to provide help.

My domain is: www.juanmagcolinas.com / www.plumillaberciano.com

My web server is (include version): OVH -current server- / HostEurope -new server-

The operating system my web server runs on is (include version):
cPanell: |Versión de cPanel| 70.0 (build 48)
Operating System: Linux

My hosting provider, if applicable, is: OVH -current server- / HostEurope -new server-

Hola, muy buenas. Estoy haciendo una migración de un servidor de OVH a uno de HostEurope. HostEurope no permite utilizar un certificado SSL Lets Encrypt directamente, pero si lo permite instalar en su servidor de forma manual, si facilitamos el CRT y el PRIVATE KEY. No tiene Shell Access, porque es un servidor compartido.

¿Me podríais explicar cómo genero un nuevo certificado Lets Encrypt y como consigo los ficheros CRT y Private Key para que en HostEurope me los instalen en el servidor?

Y, además, por si fuese necesario, ¿me podríais explicar como uso el Certbot y/o el modo manual y como genero los archivos que necesitan en HostEurope, en el caso de que vosotros no me los podáis facilitar, por favor?

Muchas gracias por todo.

Saludos


Certificate renewal behavior when some domains can't validate?
#2

https://zerossl.com/free-ssl/#crt can do this for you.


#3

Thanks a lot for this link _az!

Is this certificate from Let’s Encrypt? Many thanks!


#4

Yes, it is. https://gethttpsforfree.com is another site that does the same thing, also Let’s Encrypt.


#5

Perfect, _az. Thanks a lot!


#6

Pero puede ser mucho trabajo porque los certificados Let’s Encrypt sólo duran 90 días, entonces tendrá que hacerlo de nuevo a cada 60-90 días. Por eso recomendamos usar una alternativa capaz de renovación automática.


#7

Hola, Schoen.

Muy buenas. Muchas gracias por tu respuesta.

Pensaba que la mayoría de certificados Let’s Encrypt se renovaban automáticamente.

Justo había visto que el Zero SSL había que renovarlo cada 90 días. Pero pensaba que otros se renovaban automáticamente, por la información que había leído.

¿Qué alternativa gratuita y fiable recomiendas tú? Muchas gracias.


#8

Infelizmente, eso es el mayor inconveniente de usar un proveedor o ambiente donde no tiene soporte para Let’s Encrypt en su servidor. La renovación automática de certificados sólo es técnicamente posible cuando tiene suporte por parte del proveedor, o como funcionalidad de su software, o acceso administrativo al servidor (para poder instalar otras herramientas). Sin esas posibilidades, sólo será posible renovar el certificados al menos parcialmente de una forma manual.


#9

Por cierto, otra duda relacionada con esto.

Al final he escogido una de las dos propuestas que me habéis hecho, el Zero SSL.

El problema es que, de momento, yo sólo he encontrado la forma de generar la Private Key y el CSR. Pero no encuentro dónde generar el CRT.

He generado la Private Key y el CSR, pero no se me valida correctamente y no sé donde se genera el CRT, para que me lo puedan instalar, validarlo y que empiece a funcionar.

He escrito a soporte de Zero SSL, pero no me han contestado.

¿Sabríais dónde puedo hacer esta gestión, por favor?

Muchas gracias.

Saludos,

Juanma


#10

Hola Juanma,

El “CRT” será el certificado resultado del proceso de emisión. Así lo obtiene en el último paso, una vez que la verificación por Let’s Encrypt ha sucedido.

En la interfaz Española de ZeroSSL hay tres pasos:

1 Detalles
2 Verificación
3 Certificado

Recibe el certificado en paso 3, y no es creado por usted, pero por la autoridad certificadora.

Si hay un problema en la verificación (paso 2), tenemos que discutirlo. :slight_smile:


#12

Este punto es lo más importante de todo, porque si no están en la carpeta correcta, ¡no va a funcionar nada! :slight_smile:

¿No tiene una manera de actualizar los contenidos de sus sitios (por ejemplo, publicando nuevos archivos) sin la ayuda del proveedor?

Ya que les pidió que publicaran los archivos, ¿cómo describió la tarefa al proveedor, y que hizo el proveedor después?


#13

Hola, de nuevo, Schoen.

¡Ya está resuelto! Hubo un malentendido con el proveedor. Ellos no dejan instalar el certificado, sino que sólo ellos tienen acceso. Entonces yo les envié todos los archivos, pero, aunque yo los vi subidos en el servidor, no estaban en la carpeta correcta.

Como yo conocía la ruta y si puedo gestionar mis propios archivos, yo mismo creé la ruta de carpetas y subí los archivos, por lo que ya está todo validado correctamente. Ahora estoy esperando a que el proveedor me instale el certificado.

Por cierto, tengo una duda más. He estado usando CertBot y ya más o menos lo sé utilizar. Lo que pasa que al haber iniciado todo el trámite con Zero SSL, al final, para no liar más al proveedor, generé el certificado con Zero SSL.

La pregunta es, ¿aunque haya generado el Certificado SSL con Zero SSL, hay alguna forma de que usando CertBot desde el Terminal de mi Mac pueda hacer que el certificado se renueve automáticamente, con el comando sudo certbot renew --dry-run? O como no he generado el certificado con CertBot directamente y puede que la información no esté guardada en este programa, no sea posible?

Según CertBot se explica esto, sobre la renovación automática. ¿Podría hacerla? ¿O tendría que generar nuevos certificados a través de CertBot?

Automating renewal
Certbot can be configured to renew your certificates automatically before they expire. Since Let’s Encrypt certificates last for 90 days, it’s highly advisable to take advantage of this feature. You can test automatic renewal for your certificates by running this command:

$ sudo certbot renew --dry-run
If that appears to be working correctly, you can arrange for automatic renewal by adding a cron job or systemd timer which runs the following:
certbot renew

Muchas gracias por todo.

Saludos,

Juanma


#14

No, Certbot sólo puede renovar certificados que creó.

Además, Certbot no tiene una opción conveniente de verificación por creación de archivos en un servidor remoto (solo sabe crear archivos en la misma máquina). (En la mayoría de casos debería ser usado en el servidor.)

GetSSL puede hacer esto con su funcionalidad de “remote webroot”.


#15

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.


#16

#17

Hola, @schoen
Perdona que te escriba públicamente a través de este hilo que he visto abierto, pero es que no te puedo mandar un mensaje privado y este hilo, en el que estaba hablando contigo, ha sido cerrado y no puedo utilizarlo: Generación de un certificado de seguridad SSL Let's Encrypt

¿Se podría reabrir ese hilo, para poder hacer una nueva consulta similar en él y que me pudieses ayudar allí?

La cuestión es que han pasado 3 meses y tengo que volver a renovar mi certificado Lets Encrypt.

¿Habría alguna posibilidad de que esos certificados no caduquen a los 3 meses y se renueven de forma automática?

Me hablabas de GetSSL. ¿Cuál sería la URL para acceder a esta herramienta? ¿Esta? https://github.com/srvrco/getssl/tree/APIv2

¿Y cómo se haría el proceso de generación de un nuevo certificado? Porque como los que ya tengo los cree con ZeroSSL, doy por hecho que no los podría renovar, sino que tendría que generar unos nuevos.

Muchas gracias y perdón por todas las molestias.

Saludos.


Certificate renewal behavior when some domains can't validate?
#18

Hola @juanmagcolinas,

Renovación siempe se hace por medio de la emisión de un certificado nuevo. Algunas aplicaciones pueden esconder esta realidade haciéndolo automáticamente y guardando el certificado nuevo en el lugar del certificado viejo.

Sin usar una aplicación cliente, tendría que usar ZeroSSL otra vez, de la misma manera.

GetSSL se encuentra en

y tal vez ayudaría con la renovación automática de los certificados, sin tener que hacer todos los pasos manualmente.


#19

Muchas gracias por la respuesta, @schoen.

De momento he vuelto a generar un nuevo certificado con ZeroSSL.

Pero para el próximo trimestre probaré GetSSL, a ver si puedo generar el certificado en mi equipo -sin usar una aplicación cliente, ya que no puedo- y pasárselo a la empresa que me gestiona los dominios y el alojamiento, y lograr la renovación automática. Pero, de momento, no estoy familiarizado con GetSSL y no lo sé usar, por lo que el próximo trimestre lo probaré. Muchas gracias por todo. Saludos.


#20

La renovación resulta en un certificado nuevo cada vez que se hace. GetSSL puede renovar el certificado automáticamente en su dispositivo, pero aún tendría que actualizar (instalar) el certificado en el servidor. Si necessita ayuda por parte de la empresa para hacerlo, el proceso nunca va a ser completamente automatico (y no hay herramienta que podría automatizarlo).