UA-51298262-10 Skip to main content
search
Seguridad

Cómo renovar certificado SSL Let’s Encrypt manualmente

By mayo 29, 2026No Comments
Cómo renovar certificado SSL Let's Encrypt manualmente

Renovar un certificado SSL de Let’s Encrypt manualmente. Parece una tarea menor, pero cuando falla el cron o tienes que hacer un cambio DNS urgente, te alegras de saber hacerlo a mano. Llevo años administrando servidores y te aseguro que la renovación automática no siempre es suficiente. A veces necesitas control total: antes de una migración, tras una actualización del sistema, o simplemente para comprobar que todo está bien antes de que caduque. Aquí te cuento exactamente cómo hacerlo, con los comandos que necesitas y las verificaciones para no llevarte sorpresas.

¿Por qué meterse a renovar a mano?

La renovación automática de Let’s Encrypt con cron o systemd timer suele funcionar sin tocarlo. Pero hay escenarios en los que prefieres hacerlo tú:

  • Antes de mover el servidor o cambiar su configuración.
  • Cuando quieres incluir un dominio nuevo en el certificado.
  • Si el proceso automático falla por permisos, red o un ajuste tonto en el web server.
  • Para verificar que todo funciona tras una actualización del sistema.

Hacerlo manual te da control y te permite detectar problemas antes de que el certificado caduque. Vamos allá.

Lo que necesitas antes de empezar

No hace falta mucho, pero asegúrate de esto:

  • Acceso root o sudo al servidor. Sin eso no haces nada.
  • Certbot instalado. Si no lo tienes, instálalo con tu gestor de paquetes (apt, yum, dnf).
  • Puertos 80 y 443 abiertos en el firewall. La validación HTTP-01 o TLS-ALPN-01 los necesita.
  • Los dominios del certificado deben apuntar al servidor real. Suena obvio, pero a veces se nos olvida.

Primero: mira cómo está el certificado ahora

Antes de tocar nada, comprueba cuándo caduca y qué dominios cubre. Ejecuta:

sudo certbot certificates

Ese comando te muestra todos los certificados gestionados por Certbot: fecha de expiración, ruta de los archivos, dominios asociados. Si ves que la fecha se acerca (menos de 30 días), toca renovar. Si no, puedes esperar o forzarlo.

La renovación paso a paso

1. Simula primero (dry-run)

No te lances a renovar de golpe. Haz una prueba en seco para ver que todo funciona sin modificar el certificado real:

sudo certbot renew –dry-run

Este comando ejecuta la validación pero no guarda nada nuevo. Fíjate en la salida: errores de conexión, dominio no resuelto, problemas con el servidor web. Si ves «Congratulations, all renewals succeeded», vas bien.

2. La renovación real

Dry-run ok. Ahora sí. El comando básico:

sudo certbot renew

Certbot solo renovará los certificados que estén a menos de 30 días de caducar. Para forzar la renovación de todos, aunque falte tiempo, usa:

sudo certbot renew –force-renewal

Pero cuidado: Let’s Encrypt tiene un límite de renovaciones por semana (normalmente 5 por dominio). No abuses.

3. Recarga el servidor web

Una vez renovado, el servidor web (Apache, Nginx, lo que sea) tiene que cargar el nuevo certificado. Certbot suele hacerlo solo, pero si no, recarga manual:

sudo systemctl reload nginx (o apache2 según tu servidor)

O si usas Nginx directamente:

sudo nginx -s reload

Verifica que todo ha ido bien

Una vez renovado, comprueba la nueva fecha de expiración:

sudo certbot certificates

También puedes probar el certificado con OpenSSL desde la línea de comandos:

echo | openssl s_client -connect tudominio.com:443 -servername tudominio.com 2>/dev/null | openssl x509 -noout -dates

Si el «notAfter» es posterior al anterior, todo correcto.

Si quieres automatizar pero con control

No es estrictamente manual, pero si prefieres tener un cron que se ejecute cuando tú decides, puedes montar un job. Por ejemplo, cada lunes a las 3 de la mañana:

0 3 * * 1 sudo certbot renew –quiet

La opción –quiet solo muestra salida si hay error. Añade también la recarga del servidor web para que no se quede con el certificado viejo.

Consejo práctico: Si gestionas varios dominios, usa –preferred-challenges http si tu firewall solo permite HTTP y HTTPS. O combínalo con un script que te mande un email si falla. A veces lo más simple es lo que más funciona.

Problemas típicos y cómo salir del paso

  • «Could not bind to IPv4 or IPv6»: El puerto 80 o 443 está ocupado. Detén temporalmente el servidor web o usa otro puerto con –http-01-port.
  • «Failed to obtain certificate»: Revisa que el dominio apunte al servidor (DNS propagado) y que no haya un proxy inverso bloqueando la validación.
  • «Too many certificates already issued»: Has superado el límite semanal. Espera unos días y vuelve a intentarlo.

Pregunta frecuente: ¿Puedo renovar manualmente si uso un proxy inverso como Cloudflare?

Sí, pero tienes dos opciones: usar el desafío DNS (dns-01) o desactivar temporalmente el proxy en Cloudflare para la validación HTTP-01. Lo más fiable es el plugin DNS de Let’s Encrypt para tu proveedor. No es complicado, pero requiere unos pasos extra.

Renovar un certificado SSL de Let’s Encrypt manualmente es más sencillo de lo que parece. Con certbot renew y las verificaciones adecuadas, te aseguras de que tus sitios mantienen la capa SSL/TLS sin depender exclusivamente de la automatización. Haz siempre un dry-run antes de forzar, y comprueba la fecha después. Si en algún momento te encuentras con problemas técnicos o necesitas ayuda profesional para gestionar certificados, en RedServicio (redservicio.net) damos soporte especializado para administradores de sistemas y webmasters. No dudes en consultarnos.

Entradas relacionadas:

  1. ¿Es seguro el certificado SSL gratuito de Let’s Encrypt?
  2. Cómo renovar un dominio en GoDaddy
  3. Cómo renovar un dominio automáticamente en NameCheap
  4. Renovar de forma automática un dominio en cdmon
Close Menu

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies