Eran las 2 de la mañana cuando me llamó el técnico de turno desde RAP-E. "El certificado de la región central expira en 72 horas y el proveedor no responde." Eso fue hace cinco años, pero todavía recuerdo el sabor del café frío mientras abría el gestor de certificados. Ese incidente me obligó a diseñar un protocolo que después usé en FONTUR, IDT, Secretaría Jurídica Distrital, Archivo General de la Nación y tres entidades más. No fue bacano. Fue matemática pura.
La mayoría de administradores cree que migrar un SSL es cuestión de descargar, instalar y rezar. Todavía no entiendo por qué nadie enseña esto en las universidades. La realidad es infinitamente más complicada porque trabajas con instituciones que atienden ciudadanos 24/7 —no puedes pausar un trámite de licencia de conducción porque tu certificado expiró a las 3 de la tarde.
El plan que funcionó (casi siempre)
Primero: auditoría completa. En cada entidad había entre 3 y 7 dominios diferentes —algunos con subdominios, otros con certificados wildcard, algunos híbridos. Anoté todo. Literalmente todo. Direcciones IP, servidores de correo asociados, sistemas de correo automatizado que validaban certificados. Porque aquí viene lo que nadie te dice: cambiar un SSL no es solo cambiar un archivo.
Segundo: testing en paralelo. Generaba el nuevo certificado, lo instalaba en un servidor de prueba con la misma configuración —mismo software, mismo load balancer— y lo dejaba correr una semana. Mientras tanto, el certificado viejo seguía funcionando en producción. Esto suena obvio, pero cuando trabajas en una Secretaría Jurídica con 15 abogados acosándote porque "el portal está lento", la tentación de saltarse esta fase es enorme.
Tercero: DNS y redirecciones. Aunque parezca un detalle menor, aquí es donde más metros pierdes. Algunos sistemas internos tenían IPs hardcodeadas en lugar de usar dominios. Bueno, no exactamente hardcodeadas —eran referencias en bases de datos antiguas que nadie tocaba desde 2015. Tuve que rastrear cada una.
La madrugada que casi falla todo
En el Archivo General de la Nación pasó algo que me enseñó humildad. Instalé el nuevo certificado, todo parecía correcto, pero los clientes VPN de los archivistas remotos no podían conectar. ¿Por qué? El certificado tenía un campo SANs —Subject Alternative Names— diferente al anterior. Nada grave, pero los certificados raíz en las máquinas de los archivistas no se actualizaban automáticamente.
Llamé al equipo de soporte a las 11 p.m., preparé un script de distribución automática y ejecuté la migración en ventanas de 30 minutos por cada nodo. Sin interrupciones. Sin un solo correo de reclamo.
Lo que aprendí caminando
Y aunque ahora tengo un checklist de 47 puntos que funciona de una, cada entidad es un mundo. Los certificados no son solo números y criptografía —son la puerta entre el ciudadano y sus derechos. Eso pesa.
¿Qué pasaría si publicara aquí exactamente cómo lo hago? Probablemente otros administradores lo copiarían. Tal vez funcione, tal vez no. Cada infraestructura es un caso clínico diferente.