Guía Definitiva: Cómo Instalar SSL en Hosting de Etecsa con Certbot y Renovación Manual

Hola 👋🏼, si estás leyendo esto es porque quieres que tu sitio en Etecsa luzca ese candadito verde de seguridad que todos deseamos. Aunque al principio parezca un proceso complicado, te aseguro que con esta guía paso a paso lo lograrás sin problemas. ¡Respira profundo y acompáñame en este recorrido hacia un sitio más seguro! 🚀

Paso 1: Instalar Certbot en tu Computadora

Certbot es la herramienta oficial de Let’s Encrypt para generar certificados SSL. La forma de instalarlo varía según tu sistema operativo:

En Ubuntu/Debian (Linux):

sudo apt update && sudo apt upgrade -y

sudo apt install certbot

En Windows/macOS:

1. Descarga e instala Python desde python.org.

2. Abre una terminal y ejecuta:

pip install certbot

Paso 2: Generar el Certificado SSL

Ejecuta el siguiente comando (recuerda reemplazar tusitioweb.com por tu dominio real):

sudo certbot certonly --manual \

--rsa-key-size 4096 \

--key-type rsa \

-d tusitioweb.com \

-d www.tusitioweb.com

Es fundamental incluir ambos dominios (-d tusitioweb.com y -d www.tusitioweb.com) para que el certificado cubra todas las versiones de tu sitio.

No utilices plugins automáticos como --apache o --nginx, ya que el hosting de Etecsa requiere el método manual.

Paso 3: Crear Carpetas y Archivos Temporales para el Desafío ACME

Durante el proceso, Certbot te pedirá que verifiques la propiedad de tu dominio creando un archivo temporal. Sigue estos pasos:

1. Conéctate al servidor FTP de Etecsa:

Utiliza FTP over TLS en modo pasivo para conectarte a unixfile.nauta.cu. Esto garantiza una conexión segura y estable.

2. Crea las carpetas en tu hosting:

• Una vez conectado, navega hasta la carpeta raíz de tu sitio, que en Etecsa es hotdocs/.
• Crea la siguiente estructura:

hotdocs/.well-known/acme-challenge

• Asegúrate de que tanto la carpeta .well-known como acme-challenge tengan permisos 755 (para lectura y ejecución).

3. Sube el archivo de verificación:

• Certbot te mostrará un mensaje del tipo:

Create a file containing just this data: XXXXXXXXXXXXXXXXX

And make it available on your web server at this URL:

http://tusitioweb.com/.well-known/acme-challenge/XXXXX

• Crea un archivo de texto con el nombre exacto indicado (por ejemplo, XXXXX) y pega en él el contenido proporcionado.
• Sube este archivo a la carpeta hotdocs/.well-known/acme-challenge/.

4. Verifica la accesibilidad del archivo:

• Abre un navegador y visita la URL indicada. Si ves el contenido del archivo, regresa a la terminal y presiona Enter para continuar.

Paso 4: Obtener los Archivos del Certificado

Si la verificación fue exitosa, Certbot generará en tu computadora 4 archivos esenciales, ubicados en:

/etc/letsencrypt/live/tusitioweb.com/

├── cert.pem → Certificado primario

├── chain.pem → Cadena de certificados

├── fullchain.pem → Certificado completo (cert.pem + chain.pem)

└── privkey.pem → Clave privada (¡guárdala con mucho cuidado!)

Paso 5: Subir Archivos a la Carpeta PKI de Etecsa

1. Accede a tu FTP de Etecsa (nuevamente a unixfile.nauta.cu, usando FTP over TLS en modo pasivo) y navega hasta la raíz de tu hosting.
2. Busca o crea una carpeta llamada PKI.
3. Sube los 4 archivos generados:

• cert.pem

• chain.pem

• fullchain.pem

• privkey.pem

Paso 6: Notificar a Etecsa para Activar el Certificado

Una vez que los archivos estén en la carpeta PKI, debes notificar a Etecsa para que activen el certificado. Envía un correo a hosting@enet.cu con la siguiente información:

Asunto:

Solicitud de instalación de certificado SSL para tusitioweb.com

Cuerpo del mensaje:

Buenos días,

He subido los archivos del certificado SSL para el dominio [tusitioweb.com] a la carpeta PKI de mi hosting, tal como se solicita.

Archivos subidos:

- cert.pem

- chain.pem

- fullchain.pem

- privkey.pem

Por favor, procedan con la instalación del certificado.

Quedo atento a su confirmación.

Atentamente,

[Nombre Completo]

[Teléfono de contacto]

Contacto de Soporte de Etecsa:

• Teléfono: +53 7 6468033 (Servicio disponible 24 horas)

• Además, cuando Etecsa actualice tu certificado, recibirás una notificación por correo electrónico.

Paso 7: Verificar la Instalación

1. Espera entre 24 y 48 horas para que Etecsa active el certificado.
2. Visita tu sitio usando https://tusitioweb.com.
3. Si ves el candado verde, ¡felicidades! Tu sitio está seguro. Si no, contacta a Etecsa vía telefónica.

Renovación del Certificado SSL

Recuerda que el certificado SSL expira cada 90 días. Para mantener la seguridad de tu sitio, deberás renovarlo de forma manual. Cuando llegue el momento, ejecuta el siguiente comando (ajusta los dominios según corresponda):

sudo certbot certonly --manual --force-renewal \

--key-type rsa \

--rsa-key-size 4096 \

-d www.calvarycaibarien.cu \

-d calvarycaibarien.cu

El proceso de verificación es el mismo que seguiste anteriormente: sube el archivo de verificación a la carpeta hotdogs/.well-known/acme-challenge/, notifica a Etecsa y espera a que el certificado se active. Repite este procedimiento cada 90 días para que tu sitio siga siendo seguro.

Errores Frecuentes y Soluciones

• Error 404 en el desafío ACME:

Asegúrate de que la ruta .well-known/acme-challenge/ esté correctamente creada y que los permisos sean los adecuados (si es necesario, utiliza permisos 644 para los archivos).

• Certificado que no cubre “www”:

Verifica que al generar el certificado hayas incluido ambos dominios: -d tusitioweb.com y -d www.tusitioweb.com.

• Clave privada rechazada:

Usa siempre --rsa-key-size 4096 para cumplir con los requisitos de Etecsa.

Y listo ya todo está en orden. Si seguiste bien los pasos no habrán problemas y tú sitio cambiará a sitio seguro en los próximos minutos. Recuerda que el proceso es manual, por lo que la renovación cada 90 días es imprescindible para mantener la seguridad.

Así lo hice con el sitio https://www.calvarycaibarien.cu, puedes pasar y verificarlo por ti mismo, un saludo 🫡, si este post te ayudó en algo deja tu comentario.