Давайте шифруємо перевірку certbot через HTTPS

З документів плагіна Webroot Certbot

Плагін Webroot працює, створюючи тимчасовий файл для кожного із запитуваних доменів у ${webroot-path}/.well-known/acme-challenge. Тоді сервер перевірки Let's Encrypt робить запити HTTP для підтвердження того, що DNS для кожного запитуваного домену вирішується на сервері, на якому працює certbot.

На приватному домашньому сервері у мене порт 80 відключений, тобто в маршрутизаторі не включено переадресацію портів. Я не маю наміру відкривати цей порт.

Як я можу сказати certbot, що сервер перевірки не повинен робити HTTP-запит, а HTTPS (порт 443) для підтвердження права власності на домен?

Сервер перевірки навіть не повинен мати необхідність перевіряти сертифікат домашнього сервера, оскільки він вже використовує HTTP за замовчуванням. У мене може бути сертифікат самопідписання або сертифікат, який готується до поновлення, але це не має значення.

В даний час я перебуваю в ситуації, коли мені потрібно включити переадресацію порту 80, а також сервер на ньому для створення / оновлення сертифікатів. Це не дозволяє мені використовувати cronjob для відновлення сертифіката. Ну, з достатньою кількістю роботи, але я вже маю прослуховування сервера на 443, який також міг би виконати цю роботу.

Як повідомили в https://community.letsencrypt.org/t/shouldnt-verification-via-dns-record-be-a-priority/604/47 в letsencrypt.sh програми оновлення перевірки опор через DNS. Мабуть, мало сценаріїв оновлення цього було реалізовано. Однак метод HTTP є найпростішим у застосуванні для початкової конфігурації.

Сценарій, який ви маєте, може використовувати TNS SNI або підтвердження наявності попереднього ключа для оновлення. Специфікацію можна знайти за посиланням https://tools.ietf.org/html/draft-ietf-acme-acme-01#section-7.5 . У такому випадку вам не потрібно буде включати HTTP.