bg-tutorials

Cómo instalar un certificado SSL ACME en LiteSpeed

Esta guía cubre todo lo que necesitas para instalar certificados SSL de ACME en LiteSpeed, incluyendo tanto OpenLiteSpeed como LiteSpeed Enterprise.

Litespeed ACME SSL

Configurarás el cliente ACME, lo conectarás a tu proveedor de certificados, solicitarás un certificado seguro y configurarás LiteSpeed para utilizarlo, todo ello en unos pocos y claros pasos. Una vez completado, tus certificados se renovarán automáticamente sin necesidad de intervención manual.

Utilizaremos ACME.sh, una herramienta ligera y fiable que admite External Account Binding (EAB), necesario para los SSL ACME comerciales de Sectigo y DigiCert.


Qué necesitarás antes de empezar

Asegúrate de tenerlos preparados:

  • Servidor Web LiteSpeed instalado (OpenLiteSpeed o Enterprise)
  • Acceso SSH con privilegios de root o sudo
  • El registro DNS A/AAAA de tu dominio que apunta a este servidor
  • Una suscripción ACME SSL activa (de Sectigo o DigiCert)
  • Tus credenciales EAB (KID + clave HMAC)
  • Puerto 80 abierto – el desafío ACME se ejecuta a través de HTTP plano
  • Acceso saliente a Internet al punto final de tu proveedor ACME

Puntos finales ACME a utilizar:

  • Sectigo: https://acme.sectigo.com/v2/DV
  • DigiCert: https://acme.digicert.com/v2/acme

Paso 1: Instala ACME.sh

Empezaremos instalando ACME.sh, el script ligero que gestiona tus solicitudes y renovaciones de certificados.

Abre una ventana de terminal (SSH) y conéctate a tu servidor LiteSpeed como root. Si utilizas un VPS o un servidor en la nube, conéctate utilizando:

ssh root@your-server-ip

Una vez dentro, ejecuta los siguientes comandos para instalar ACME.sh:

curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version

Esto descarga el script, configura el entorno y confirma que se ha instalado correctamente.

Si la instalación falla:

  • Asegúrate de que curl y git están instalados en tu servidor
  • Si algo se ha atascado, vuelve a ejecutar la instalación con –force

Paso 2: Registra tu cuenta ACME (con EAB)

Este paso vincula tu cliente ACME a la CA utilizando las credenciales EAB de tu suscripción.

acme.sh --register-account \
  --server https://acme.sectigo.com/v2/DV \
  --eab-kid EAB_KID \
  --eab-hmac-key EAB_HMAC_KEY \
  --accountemail [email protected]

Sustituye los valores por tus credenciales reales. Si ya te has registrado con el mismo par EAB, no hay problema, ACME.sh reutilizará la cuenta existente.

Si falla, compruébalo:

  • ¿Son correctas tus credenciales EAB?
  • ¿Puede tu servidor alcanzar HTTPS saliente (puerto 443)?

Paso 3: Configurar Webroot y probar la validación HTTP

ACME utiliza desafíos HTTP-01 para verificar la propiedad del dominio. Eso significa que tu servidor debe responder en: http://yourdomain.com/.well-known/acme-challenge/

Eso significa que el cliente ACME soltará un archivo de prueba en una carpeta llamada .well-known, y tu servidor deberá servirlo a través de HTTP plano (puerto 80).

¿Dónde está el webroot en tu servidor?

Depende de lo que estés ejecutando. En OpenLiteSpeed (instalación nueva), por defecto, la raíz Web está en /usr/local/lsws/Example/html.

En LiteSpeed Enterprise (WHM o configuración manual), la raíz web está donde apunte tu dominio, a menudo algo como /home/tuusuario/public_html

Crea la carpeta de validación y el archivo de prueba

En la raíz de tu documento (ajusta la ruta para que coincida con la tuya), ejecuta

mkdir -p /your/webroot/.well-known/acme-challenge
echo "ok" > /your/webroot/.well-known/acme-challenge/testfile
curl -I http://yourdomain.com/.well-known/acme-challenge/testfile

If you see HTTP/1.1 200 OK, your server is ready to answer ACME challenges.

¿Y si estás forzando HTTPS?

Si tu sitio redirige automáticamente HTTP a HTTPS, tienes que hacer una excepción para la ruta ACME para que pueda permanecer en HTTP durante la validación. Añade esto a tu archivo .htaccess:

RewriteEngine On
# Let ACME validation go through
RewriteRule ^\.well-known/acme-challenge/ - [L]
# Redirect everything else to HTTPS
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Esto garantiza que el reto funcione incluso si tu sitio utiliza HTTPS.

Comprobación adicional: ¿está abierto el puerto 80?

Si la validación falla, puede que tu servidor no esté escuchando en HTTP. Comprueba tus escuchas LiteSpeed.

Para OpenLiteSpeed:

  1. Inicia sesión en LiteSpeed WebAdmin: https://:7080
  2. Navega hasta Escuchas > Predeterminado (existe en instalaciones nuevas).
  3. Conjunto:
    • Puerto = 80
    • IP = CUALQUIERA

Para LiteSpeed Enterprise:

Entra en WHM o WebAdmin, y asegúrate de que tu dominio está escuchando en el puerto 80. Si otro servicio está utilizando ese puerto, ejecútalo:

sudo lsof -i :80

Detén el proceso conflictivo y reinicia LiteSpeed.


Paso 4: Emitir tu certificado SSL

Ahora es el momento de solicitar tu certificado SSL a través del cliente ACME. Ejecutarás este comando directamente en el terminal de tu servidor (SSH), en el mismo lugar donde instalaste antes ACME.sh.

acme.sh --issue \
  -d yourdomain.com \
  -w /path/to/your/webroot \
  --server https://acme.yourca.com/v2/endpoint

Vamos a desglosarlo:

  • acme.sh –issue – Indica a ACME.sh que quieres emitir un nuevo certificado.
  • -d tudominio.com – tu nombre de dominio principal. Puedes añadir más banderas -d para subdominios o la versión www, como -d www.yourdomain.com.
  • -w /ruta/a/tu/webroot – la ruta completa a la raíz de documentos de tu sitio web.
  • –servidor https://acme.yourca.com/v2/endpoint – sustitúyelo por la URL ACME de tu CA:
    • Sectigo: https://acme.sectigo.com/v2/DV
    • DigiCert: https://acme.digicert.com/v2/acme

Si falla con errores como «no autorizado», «no delegado» o «respuesta no válida», suele significar:

  • El registro DNS A/AAAA del dominio aún no apunta a este servidor.
  • Tu ruta webroot es incorrecta. ACME no puede encontrar el archivo de desafío.
  • El puerto 80 está bloqueado o redirigido a HTTPS.
  • Has utilizado una URL de servidor CA incorrecta para tu producto.

Paso 5: Instalar el Certificado y Configurar la Recarga

Ahora instalamos el certificado y le decimos a LiteSpeed que lo recargue después de las renovaciones.

Primero, crea un directorio para el cert:

mkdir -p /usr/local/lsws/conf/cert/yourdomain.com

Luego instálalo:

acme.sh --install-cert -d yourdomain.com \
  --key-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key \
  --fullchain-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt \
  --reloadcmd "/usr/local/lsws/bin/lswsctrl reload"

Arregla los permisos:

chmod 600 /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
chown -R nobody:nogroup /usr/local/lsws/conf/cert/yourdomain.com

Sustituye nobody:nogroup por tu usuario y grupo reales de LiteSpeed si son diferentes.


Paso 6: Configurar HTTPS en LiteSpeed

Ahora que tu certificado está instalado, vamos a conectarlo a LiteSpeed para que tu sitio web se cargue a través de HTTPS.

Para OpenLiteSpeed (panel WebAdmin)

  1. Accede a la consola WebAdmin. Visita: https://your-server-ip:7080
  2. Create a secure HTTPS listener. In the left menu, go to: Listeners > Add > Then set the following:
    • Nombre: HTTPS
    • Dirección IP: CUALQUIER
    • Puerto: 443
    • Seguro: Sí

      Escucha Litespeed
  3. Haz clic en Guardar.
  4. Después de guardar, haz clic en tu nueva escucha HTTPS y ve a la pestaña SSL .
  5. Introduce las rutas completas de los archivos cert y key que instalaste anteriormente y vuelve a hacer clic en Guardar .
    • Archivo de clave privada: /usr/local/lsws/conf/cert/tudominio.com/tudominio.com.key
    • Archivo de certificado: /usr/local/lsws/conf/cert/tudominio.com/tudominio.com.crt

      Clave privada Litespeed
  6. Todavía en el oyente HTTPS, ve a la pestaña Asignaciones de host virtual.
  7. Añade una asignación como ésta:
    • Host virtual: Ejemplo (Sustituye Ejemplo por el nombre real de tu host virtual si lo has cambiado).
    • Dominios: *

      Litespeed General
  8. Para aplicar todos los cambios, reinicia LiteSpeed. Puedes hacerlo desde WebAdmin: Acciones > Reinicio graceful

Para LiteSpeed Enterprise

Si utilizas LiteSpeed Enterprise (por ejemplo, con WHM/cPanel), los pasos son similares, pero el diseño puede diferir ligeramente.

  1. Accede a WebAdmin o WHM
  2. Utiliza el panel WebAdmin (igual que arriba) o configura SSL a través de tu panel de alojamiento.
  3. Asigna las rutas del certificado y la clave
  4. Donde esté definido el host virtual de tu dominio, pon:
    • Archivo de clave privada: /usr/local/lsws/conf/cert/tudominio.com/tudominio.com.key
    • Archivo de certificado: /usr/local/lsws/conf/cert/tudominio.com/tudominio.com.crt
  5. Recargar LiteSpeed
  6. Aplica los cambios ejecutando service lsws reload

Ya está. Una vez que LiteSpeed se recargue, tu sitio empezará a servir tráfico sobre HTTPS utilizando el certificado ACME que instalaste.


Paso 7: Comprueba HTTPS y la renovación automática

Visita tu web. Deberías verlo:

  • CN/SAN correcto
  • No hay advertencias del navegador

Ahora comprueba si ACME.sh ha añadido una tarea cron:

crontab -l

Debería tener este aspecto:

24 13 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

Prueba manualmente la renovación:

acme.sh --renew -d yourdomain.com --force
tail -n 40 ~/.acme.sh/acme.sh.log

Si tu comando de recarga es correcto, LiteSpeed recogerá el nuevo cert automáticamente.


¿Tienes problemas? Esto es lo que hay que comprobar

Si algo no funciona durante la emisión o la renovación, estas comprobaciones rápidas deberían solucionarlo:

404 No encontrado» en el archivo de desafío

  • Comprueba la ruta -w que has utilizado. ¿Apunta a la raíz correcta del documento?
  • Asegúrate de que la carpeta.well-known/acme-challenge/ existe dentro de esa raíz
  • Intenta acceder manualmente a un archivo de prueba a través de HTTP (curl o navegador)

Errores «No autorizado» o «No delegado».

  • Puede que tus DNS aún no apunten al servidor. Comprueba tus registros A/AAAA
  • Comprueba dos veces la URL de tu servidor de CA
  • ¿Estás utilizando las credenciales EAB correctas de tu proveedor de SSL?

LiteSpeed no se recarga tras la renovación del certificado

Si tu certificado se ha renovado pero el sitio sigue mostrando el antiguo, suele significar que LiteSpeed no se ha recargado automáticamente. Comprueba qué versión de LiteSpeed estás utilizando.

Si estás en OpenLiteSpeed, recarga el servidor manualmente con:

/usr/local/lsws/bin/lswsctrl reload

Si estás en LiteSpeed Enterprise, utiliza:

service lsws reload

Actualiza tu comando ACME.sh reload para que ejecute la línea correcta después de cada renovación.

--reloadcmd "/usr/local/lsws/bin/lswsctrl reload"

Esto asegura que LiteSpeed actualice automáticamente el certificado la próxima vez que se renueve.


Estás acabado

Ya has instalado con éxito un certificado SSL de ACME en LiteSpeed, y lo has configurado para que se renueve automáticamente sin ningún trabajo manual. Tu servidor utiliza certificados seguros basados en EAB, todo está conectado a LiteSpeed, y la recarga se produce silenciosamente después de cada renovación.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

Una imagen detallada de un dragón en vuelo
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.