A partir dos documentos do plug-in do webbot do Certbot
The webroot plugin works by creating a temporary file for each of your requested domains in
${webroot-path}/.well-known/acme-challenge. Then the Let’s Encrypt validation server makes HTTP requests to validate that the DNS for each requested domain resolves to the server running certbot.
Em um servidor doméstico de uso particular, tenho a porta 80 desativada, ou seja, nenhum encaminhamento de porta está habilitado no roteador. Não tenho intenção de abrir essa porta.
Como posso dizer ao certbot que o servidor de validação não deve fazer uma solicitação HTTP, mas uma solicitação HTTPS (porta 443), para validar a propriedade do domínio?
O servidor de validação não deve ter a necessidade de validar o certificado do servidor inicial, já que ele já usa HTTP por padrão. Eu posso ter um certificado auto-assinado ou o certificado pronto para renovação, mas isso não deve importar.
Atualmente, estou na situação em que preciso ativar o encaminhamento da porta 80, bem como um servidor, para criar / renovar certificados. Isso não me permite usar um cronjob para renovar o certificado. Bem, com bastante trabalho, mas eu já tenho um servidor ouvindo 443, o que poderia fazer o trabalho também.
Conforme relatado no link O atualizador letsencrypt.sh suporta a validação via DNS. Poucos scripts de atualização parecem ter implementado isso. No entanto, o método HTTP é o mais simples de implementar para a configuração inicial.
O script que você possui pode usar o TNS SNI ou a prova de posse de uma chave anterior para renovações. As especificações podem ser encontradas no link . Se este for o caso, você não precisará ter o HTTP ativado.
Tags ssl lets-encrypt