De los documentos del plugin webroot Certbot
El complemento webroot funciona creando un archivo temporal para cada uno de los dominios solicitados en
${webroot-path}/.well-known/acme-challenge
. Luego, el servidor de validación Let's Encrypt realiza solicitudes HTTP para validar que el DNS para cada dominio solicitado se resuelva en el servidor que ejecuta certbot.
En un servidor doméstico de uso privado, tengo el puerto 80 deshabilitado, es decir, no se habilita el reenvío de puertos en el enrutador. No tengo intención de abrir ese puerto.
¿Cómo puedo decirle a certbot que el servidor de validación no debe realizar una solicitud HTTP, sino una solicitud HTTPS (puerto 443), para validar la propiedad del dominio?
El servidor de validación ni siquiera debería tener la necesidad de validar el certificado del servidor doméstico, ya que ya usa HTTP de forma predeterminada. Es posible que tenga un certificado autofirmado o el certificado que está por renovar, pero eso no debería importar.
Actualmente estoy en la situación en la que necesito habilitar el reenvío del puerto 80, así como un servidor en él, para crear / renovar certificados. Esto no me permite usar un cronjob para renovar el certificado. Bueno, con suficiente trabajo, pero ya tengo un servidor escuchando en 443, que también podría hacer el trabajo.
fuente