Certificados Letsencrypt sin servidor web o sin resolver en el servidor web

Como obtener el certificado Letsencrypt para un dominio que no resuelve aun en una migración o nuevo servidor

Algunas veces es necesario hacer pruebas antes de levantar una migración en un nuevo servidor en producción.

Para ello, deberemos de forma manual, obtener un nuevo certificado basándonos en el desafio llamado challenge en el que solicitaremos el certificado porque tenemos capacidad de administración de la zona DNS. También se conoce como acme-dns-certbot

Requisitos

En este doc presuponemos que:

Tienes cierto nivel de usuario Linux.
Que tienes instalado certbot con snap. Si no, acude a las Instrucciones de Cerbot
Que tienes instalado Python 3, lo cual es ya lo mas común en una instalación de Linux.

Instalar acme-cerbot

Una vez instalado necesitamos descargar el script de phyton que nos permitirá trabajar con este tipo de desafío, o validación mediante DNS.

Antes descargar nada, es buena práctica revisar el repositorio desde el que vamos a descargar el script. Antiguamente, no había forma salvo que conocieras un poco el programa y los sistemas implicados. Hoy día puedes usar si no alcanzas a esto, una chat de IA para que te verifique el scripts y te lo explique, como si fueras un novato en sistemas Linux y Python.

wget https://github.com/joohoi/acme-dns-certbot-joohoi/raw/master/acme-dns-auth.py

Lo hacemos ejecutable

chmod +x acme-dns-auth.py

Lo editamos para decirle que use Python 3

nano acme-dns-auth.py

#!/usr/bin/env python3
...

Una vez que hallamos realizado el cambio, movemos el fichero

sudo mv acme-dns-auth.py /etc/letsencrypt/

Configurar y usar acem-dns-cerbot

La cuestión es hora simple

sudo certbot certonly --manual --manual-auth-hook /etc/letsencrypt/acme-dns-auth.py --preferred-challenges dns --debug-challenges -d \*.tu-dominio -d tu-dominio

Eso es una idea, basándonos en que tienes un * en tu zona dns. Pero puedes dejarlo en la simpleza del dominio normal, el que contiene www y otros como mail, etc. Pero el consejo es que todos resuelvan a la ip

Ejemplo ficticio que surge de tener todo lo que te pida respecto de la zona DNS del dominio solicitado.

Antes de darle a continuar Press Enter to Continue es evidente que ya has creado el registro en la zona del dominio, tal y como te solicitan, o de lo contrario fallará la generación del certificado Let's Encrypt.

certbot certonly --manual --manual-auth-hook /etc/letsencrypt/acme-dns-auth.py --preferred-challenges dns --debug-challenges -d nodo1.midominio.tld
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for nodo1.midominio.tld
Hook '--manual-auth-hook' for nodo1.midominio.tld ran with output:
 Please add the following CNAME record to your main DNS zone:
 _acme-challenge.nodo1.midominio.tld CNAME cc94069f-6419-4c31-b079-d4408ec2bac6.auth.acme-dns.io.
 
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Challenges loaded. Press continue to submit to CA.
Pass "-v" for more info about challenges.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/nodo1.midominio.tld/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/nodo1.midominio.tld/privkey.pem
This certificate expires on 2025-08-11.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
If you like Certbot, please consider supporting our work by:
 * Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
 * Donating to EFF:                    https://eff.org/donate-le
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Con esto ya puedes configurar el sitio de manera temporal, hasta que resuelva en la maquina. Después lo suyo seria revocarlo y comenzar un proceso normal, basado en web.

Aviso

Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris

Si necesitas soporte profesional puedes contratar con Castris soporte profesional.

Cambiar el username en linux

Verificar versiones y ciphers soportados de TLS, SSL

CSF error: *WARING* URLGET set to use LWP but perl module is not installed, fallback to using CURL/WGET

Limitar en el tiempo (expirar en una fecha) una llave openSSH en el authorized_keys

Comprobar una conexión SMTP autentificada en el shell con SSL o TLS

CSF Firewall: añadir IPs al deny de forma definitiva.

Certificados Letsencrypt sin servidor web o sin resolver en el servidor web

Conocer el hardware en linea de comandos (shell)

Uso de UUID para montar particiones linux

Instalación GPT con el instalador Centos 7 en discos < 2 TiB

Ampliación de disco en sistema virtualizado KVM (proxmox)

Parted mejor que fdisk

Actualizar la licencia DirectAdmin en el shell

ERROR 1118 (42000) at line XXXXX: Row size too large (> 8126)

Errores con MariaDB 10.3 al restaurar o hacer backups arrastrando versiones antiguas

Como extraer de un backup de MySQL completo una base de datos y/o una tabla

Como crear un usuario Mysql/MariaDB con Grant Privileges

Restaurar mysqldump completo con problemas relacionados con VIEW y sus permisos

Desactivación de las reglas de modos SQL de un sevidor MySQL/MariaDB/Percona

Rsync sobre sistemas remotos

rsync-time-backup: include y exclude

Como convertir ficheros .flac a .mp3 en el shell de linux con ffmpeg

Teclas Inicio (Home) y Final (End) en ZSH y oh-my-zsh con Powershell

Linux, paquetes instalados desde el shell

Cómo instalar y activar el repositorio EPEL en Centos 7/8

Conocer el tamaño de unas carpetas ignorando los enlaces duros (rsync)

Ssh se sale (break) de un ciclo (loop) en un script bash

Redis Failed to start Advanced key-value store.

Comando find con -maxdepth excluyendo el propio directorio

Du y los ficheros o directorios ocultos

Como vaciar o eliminar emails antiguos en dovecot sin usar find

rc.local en systemas Debian usando systemd. Ejemplo redis

Bad Bots y la pesadilla del tráfico. Htaccess en Apache 2.4

Sudo sin contraseña

Reparar el fichero .zsh_history: zsh: corrupt history file /home/USER/.zsh_history

El archivo hosts para trabajar en un servidor o ip distinto del de la resolución DNS

Cambiar repositorios de Ubuntu al mirror de OVH

PHP log cuando usamos PHP-FPM con host virtuales

PHP. Como instalar una nueva versión de PHP en un sistema basado DEB

Activar PHP8.2 JIT Compiler - Just-In-Time compilation (JIT)

Instalar una versión de PHP con módulos en Ubuntu con Ondrej copiando de otra versión ya instalada

Git pull, error: server certificate verification failed. CAfile: none CRLfile: none

[PRIV] Instalar Proxmox desde 0

LVM Práctico para Proxmox y OVH

Red OVH vrack para Proxmox 7

Como arreglar el error Sender address rejected: need fully-qualified address (in reply to RCPT TO command)

Proxmox, Hetzner, y bloques de Ips adicionales en modo Routed

Desactivar los mensajes de log en la consola (Proxmox)

Unable to negotiate with X.X.X.X.X port YY: no matching host key type found. Their offer: ssh-rsa,ssh-dss

PasswordAuthentication yes pero no funciona

Cambiar el puerto SSH en Ubuntu 24.04 y Debian Bookworm

Kernel panic: /init: conf/conf.d/zz-resume-auto: line 1: syntax error: unexpected "("

Nginx, para servidores con multiples vhosts a pelo (sin panel) + PHP-FPM

Certificados Letsencrypt sin servidor web o sin resolver en el servidor web

Como obtener el certificado Letsencrypt para un dominio que no resuelve aun en una migración o nuevo servidor

Requisitos

Instalar acme-cerbot

Configurar y usar acem-dns-cerbot

Aviso

CSF error: WARING URLGET set to use LWP but perl module is not installed, fallback to using CURL/WGET