Skip to main content

Renovar certificado

Tutorial: Renovar certificado canovastv.es y convertir a PFX para Emby

Requisitos

  • Servidor con certbot instalado
  • OpenSSL instalado
  • Acceso SSH con privilegios de root o sudo

Paso 1: Verificar estado actual del certificado

certbot certificates

Esto muestra el nombre del certificado, fecha de expiración y rutas de los archivos.

Paso 2: Renovar el certificado

Si el certificado está próximo a expirar (menos de 30 días):

certbot renew --force-renewal --cert-name canovastv.es

Si falló la renovación anterior (config corrupta), crear uno nuevo:

certbot certonly --standalone -d canovastv.es \
  --preferred-challenges http \
  --agree-tos \
  -m admin@canovastv.es \
  --non-interactive

Nota: El puerto 80 debe estar libre durante la renovación.

Paso 3: Verificar archivos generados

ls -la /etc/letsencrypt/live/canovastv.es*/

Archivos necesarios:

Archivo Descripción
cert.pem Certificado del dominio
chain.pem Certificado CA intermedio
fullchain.pem cert + chain juntos
privkey.pem Clave privada

Paso 4: Convertir a formato PKCS#12 (PFX)

Unir todo en un solo archivo .pfx para Emby:

openssl pkcs12 -export \
  -out canovastv_es.pfx \
  -inkey /etc/letsencrypt/live/canovastv.es-0001/privkey.pem \
  -in /etc/letsencrypt/live/canovastv.es-0001/fullchain.pem \
  -certfile /etc/letsencrypt/live/canovastv.es-0001/chain.pem \
  -passout pass:TU_CONTRASEÑA_AQUI

Parámetros:

  • -out: ruta del archivo PFX de salida
  • -inkey: clave privada (privkey.pem)
  • -in: certificado completo (fullchain.pem)
  • -certfile: cadena de certificados (chain.pem)
  • -passout: contraseña protecci\ón del PFX (formato pass:contrasena)

Paso 5: Importar a Emby

  1. Acceder al panel de Emby: http://emby-server:8096/web/index.html#!/dashboard.html
  2. Ir a Panel de control (Dashboard)
  3. Sección HTTPSCertificado HTTPS
  4. Subir el archivo .pfx
  5. Introducir la contraseña del PFX
  6. Guardar cambios
  7. Habilitar HTTPS en Emby

Paso 6: Verificar

openssl pkcs12 -info -in canovastv_es.pfx -passin pass:TU_CONTRASEÑA_AQUI

Debe mostrar el certificado, clave privada y cadena CA.

Renovación automática

Certbot ya renueva automáticamente los certificados si está activo el timer:

systemctl status certbot.timer
systemctl enable --now certbot.timer

Solución de errores comunes

Certbot: "renewal config file is missing a required file reference"

El archivo de renovación está corrupto. Regenerar con certbot certonly.

Erro de permisos al generar PFX

chmod 600 canovastv_es.pfx

Puerto 80 ocupado durante renovación

nginx -s stop    # o el servicio que use el puerto 80
# renovar con certbot
nginx            # reiniciar después

Emby no acepta el certificado

Verificar que:

  • El PFX incluye fullchain + privkey
  • La contraseña es correcta
  • El nombre del dominio coincide con el certificado

Archivos de referencia

  • Certificados: /etc/letsencrypt/live/canovastv.es*/
  • Logs: /var/log/letsencrypt/letsencrypt.log
  • Configuración: /etc/letsencrypt/renewal/