Certbot on KnightLi Blog

Renovar automáticamente los certificados Let's Encrypt en Ubuntu (Certbot + Nginx)

Fri, 03 Apr 2026 00:00:00 +0000

Los certificados Let’s Encrypt son válidos solo por 90 días, por lo que los sitios de producción siempre deben habilitar la renovación automática para evitar el tiempo de inactividad de HTTPS.

Si ya emitiste el certificado con Certbot, generalmente quedan dos cosas:

Configurar una tarea de renovación programada
Verifique que el flujo de trabajo de renovación realmente funcione

Primero, verifique si Certbot ya creó un programador

Dependiendo de su distribución, es posible que Certbot ya haya instalado un programador (por ejemplo, un systemd timer o /etc/cron.d/certbot).

Puedes consultar con:

`1`	`systemctl list-timers \| grep certbot`

Si ya existe un temporizador válido, normalmente no necesitará una entrada adicional en el crontab.

Agregar un trabajo de Crontab manualmente (ejemplo recomendado)

Si prefiere administrar la renovación explícitamente, edite el crontab raíz:

`1`	`sudo crontab -e`

Agregue esta línea (se publica todos los días a las 03:00):

`1`	`0 3 * * * certbot renew --pre-hook "systemctl stop nginx" --post-hook "systemctl start nginx" >> /tmp/certbot-renew.log 2>&1`

Lo que significa:

0 3 * * *: se ejecuta a las 03:00 todos los días
certbot renew: renueva los certificados que están próximos a caducar
--pre-hook: detiene Nginx antes de la renovación (común para el modo independiente)
--post-hook: inicia Nginx después de la renovación
>> /tmp/certbot-renew.log 2>&1: agregar registros para solucionar problemas

Ejecute una prueba en seco antes de confiar en Cron

Después de agregar la tarea, valide el flujo completo manualmente:

`1`	`sudo certbot renew --dry-run`

Si el ensayo tiene éxito, podrá confiar con seguridad en el trabajo programado.

Notas comunes

Si utiliza el complemento webroot o nginx, a menudo no necesita detener Nginx. En muchas configuraciones, recargar Nginx después de la renovación es suficiente:

`1`	`certbot renew --deploy-hook "systemctl reload nginx"`

certbot renew solo realiza una renovación real cerca del vencimiento, por lo que ejecutarla diariamente es normal.
Para el mantenimiento a largo plazo, considere escribir registros en una ruta persistente como /var/log/letsencrypt/.

Resumen

La renovación automática de certificados confiable no consiste solo en escribir un comando. La clave es confirmar que el flujo de trabajo puede ejecutarse de un extremo a otro.

Una configuración estable suele consistir sólo en estos tres pasos:

Verifique si la programación a nivel del sistema ya existe
Agregue cron si es necesario y mantenga registros
Valide una vez con --dry-run

Cómo verificar si Certbot puede renovar correctamente un certificado Let's Encrypt

Thu, 08 Dec 2022 00:00:00 +0000

Después de emitir un certificado gratuito de Let’s Encrypt con Certbot, la pregunta más importante es si la renovación automática funcionará.

Los certificados de Let’s Encrypt tienen una validez limitada. Si la renovación falla sin que nadie lo note, HTTPS puede romperse cuando el certificado caduque. Certbot ofrece un modo dry-run para simular la renovación sin reemplazar el certificado real.

Usar Certbot Dry Run

Ejecuta:

`1`	`certbot renew --dry-run`

Este comando simula la renovación del certificado. Comprueba si la cuenta actual, el método de validación del dominio, la integración con el servidor web y la configuración de renovación todavía pueden completar el proceso.

Si todo va bien, Certbot mostrará un mensaje similar a:

`1`	`Congratulations, all simulated renewals succeeded`

Eso significa que el flujo de renovación funciona en este momento.

Qué Comprueba Dry Run

El dry run no solo revisa el archivo del certificado. También valida el camino completo de renovación:

si el dominio todavía puede validarse;
si la configuración del servidor web permite el challenge;
si Certbot puede leer la configuración de renovación existente;
si la cuenta y los plugins de Certbot están disponibles;
si los hooks de despliegue o recarga pueden ejecutarse.

Por eso es más útil que revisar únicamente la fecha de caducidad del certificado.

Causas Comunes De Fallo

Si certbot renew --dry-run falla, las causas habituales son:

el dominio ya no apunta al servidor;
los puertos 80 o 443 están bloqueados;
cambió la configuración de Nginx o Apache;
la ruta webroot ya no coincide con la configuración de renovación;
el firewall bloquea la validación de Let’s Encrypt;
falta el plugin de Certbot usado al emitir el certificado;
fallan los hooks o comandos de recarga.

Corrige el error indicado por Certbot y vuelve a ejecutar el dry run.

Revisar El Timer De Renovación

En sistemas con systemd, Certbot suele instalar un timer:

`1`	`systemctl status certbot.timer`

También puedes listar los timers programados:

`1`	`systemctl list-timers \| grep certbot`

Si el timer está activo y el dry-run funciona, la renovación automática debería ejecutarse correctamente.

Resumen

Para comprobar si Certbot puede renovar un certificado de Let’s Encrypt, el comando más directo es:

`1`	`certbot renew --dry-run`

Conviene ejecutarlo después de cambiar la configuración del servidor web, el firewall, el DNS del dominio o los plugins de Certbot. Esta comprobación sencilla evita que un certificado caducado rompa HTTPS por sorpresa.