Skip to main content

Renovar certificado

#

Tutorial: Renovar certificado canovastv.es y convertir a PFX para Emby


Requisitos

##
    Requisitos

-
  • Servidor con certbot instalado
  • -
  • OpenSSL instalado
  • -
  • Acceso SSH con privilegios de root o sudo

  • ##

    Paso 1: Verificar estado actual del certificado


    ```bash
    certbot certificates
    ```

    Esto muestra el nombre del certificado, fecha de expiración y rutas de los archivos.


    ##

    Paso 2: Renovar el certificado


    Si el certificado está próximo a expirar (menos de 30 días):


    ```bash
    certbot renew --force-renewal --cert-name canovastv.es
    ```

    Si falló la renovación anterior (config corrupta), crear uno nuevo:


    ```bash
    certbot certonly --standalone -d canovastv.es \
      --preferred-challenges http \
      --agree-tos \
      -m admin@canovastv.es \
      --non-interactive
    ```

    > **

    Nota:** El puerto 80 debe estar libre durante la renovación.


    ##

    Paso 3: Verificar archivos generados


    ```bash
    ls -la /etc/letsencrypt/live/canovastv.es*/
    ```

    Archivos necesarios:


    |
    | |
    |---|---|
    |
    ` | |
    |
    `| |
    |
    `| |
    |
    `| |
    ##
    Archivo Descripción
    cert.pem`pem Certificado del dominio
    chain.pem`pem Certificado CA intermedio
    fullchain.pem`pem cert + chain juntos
    privkey.pem`pem Clave privada

    Paso 4: Convertir a formato PKCS#12 (PFX)


    Unir todo en un solo archivo `.pfx`pfx para Emby:


    ```bash
    openssl pkcs12 -export \
      -out canovastv_es.pfx \
      -inkey /etc/letsencrypt/live/canovastv.es-0001/privkey.pem \
      -in /etc/letsencrypt/live/canovastv.es-0001/fullchain.pem \
      -certfile /etc/letsencrypt/live/canovastv.es-0001/chain.pem \
      -passout pass:TU_CONTRASEÑA_AQUI
    ```

    ###

    Parámetros:


    • - `-out`out: ruta del archivo PFX de salida
    • - `-inkey`inkey: clave privada (privkey.pem)
    • - `-in`in: certificado completo (fullchain.pem)
    • - `-certfile`certfile: cadena de certificados (chain.pem)
    • - `-passout`passout: contraseña protecci\ón del PFX (formato `pass:contrasena`contrasena)

    ##

    Paso 5: Importar a Emby


      1.
    1. Acceder al panel de Emby: `http://emby-server:8096/web/index.html#!/dashboard.html`
    2. html
      2.
    3. Ir a **Panel de control**control (Dashboard)
    4. 3.
    5. Sección **HTTPS**HTTPS**Certificado HTTPS**
    6. HTTPS
      4.
    7. Subir el archivo `.pfx`
    8. pfx
      5.
    9. Introducir la contraseña del PFX
    10. 6.
    11. Guardar cambios
    12. 7.
    13. Habilitar HTTPS en Emby

    ##

    Paso 6: Verificar


    ```bash
    openssl pkcs12 -info -in canovastv_es.pfx -passin pass:TU_CONTRASEÑA_AQUI
    ```

    Debe mostrar el certificado, clave privada y cadena CA.


    ##

    Renovación automática


    Certbot ya renueva automáticamente los certificados si está activo el timer:


    ```bash
    systemctl status certbot.timer
    systemctl enable --now certbot.timer
    ```

    ##

    Solución de errores comunes


    ###

    Certbot: "renewal config file is missing a required file reference"


    El archivo de renovación está corrupto. Regenerar con `certbot certonly`certonly.


    ###

    Erro de permisos al generar PFX


    ```bash
    chmod 600 canovastv_es.pfx
    ```

    ###

    Puerto 80 ocupado durante renovación


    ```bash
    nginx -s stop    # o el servicio que use el puerto 80
    # renovar con certbot
    nginx # reiniciar después
    ```

    ###

    Emby no acepta el certificado


    Verificar que:

    -
    • El PFX incluye fullchain + privkey
    -
  • La contraseña es correcta
  • -
  • El nombre del dominio coincide con el certificado

  • ##

    Archivos de referencia


      -
    • Certificados: `/etc/letsencrypt/live/canovastv.es*/`
    • -
    • Logs: `/var/log/letsencrypt/letsencrypt.log`
    • log
      -
    • Configuración: `/etc/letsencrypt/renewal/`