Давайте зашифруем проверку certbot через HTTPS

Из документов плагина Cerrobot webroot

Плагин webroot работает путем создания временного файла для каждого из ваших запрошенных доменов в ${webroot-path}/.well-known/acme-challenge. Затем сервер проверки Let's Encrypt отправляет HTTP-запросы для проверки того, что DNS для каждого запрашиваемого домена разрешается на сервере, на котором выполняется certbot.

На частном домашнем сервере у меня отключен порт 80, то есть переадресация портов не включена в маршрутизаторе. Я не собираюсь открывать этот порт.

Как я могу сказать certbot, что сервер проверки должен делать не HTTP-запрос, а HTTPS (порт 443), чтобы подтвердить право собственности на домен?

Серверу валидации даже не нужно проверять сертификат домашнего сервера, поскольку он по умолчанию уже использует HTTP. У меня может быть самозаверяющий сертификат или сертификат, который подлежит обновлению, но это не должно иметь значения.

В настоящее время я нахожусь в ситуации, когда мне нужно включить переадресацию порта 80, а также сервер на нем для создания / обновления сертификатов. Это не позволяет мне использовать cronjob для продления сертификата. Ну, с достаточным количеством работы, это было бы, но у меня уже есть сервер, слушающий 443, который мог бы сделать работу также.

Как сообщили в https://community.letsencrypt.org/t/shouldnt-verification-via-dns-record-be-a-priority/604/47 в letsencrypt.sh программы обновления проверки опор через DNS. Немногие сценарии обновления, кажется, реализовали это. Тем не менее, метод HTTP является самым простым для реализации для начальной настройки.

Сценарий, который у вас есть, может использовать TNS SNI или Доказательство владения априорным ключом для продлений. Спецификация может быть найдена в https://tools.ietf.org/html/draft-ietf-acme-acme-01#section-7.5 . Если это так, вам не нужно будет включать HTTP.