A partir dos documentos do plug-in Certbot webroot
O plugin webroot funciona criando um arquivo temporário para cada um dos domínios solicitados no
${webroot-path}/.well-known/acme-challenge
. Em seguida, o servidor de validação Let's Encrypt faz solicitações HTTP para validar que o DNS de cada domínio solicitado resolva para o servidor que está executando o certbot.
Em um servidor doméstico usado em particular, tenho a porta 80 desativada, ou seja, nenhum encaminhamento de porta está ativado no roteador. Não tenho intenção de abrir esse porto.
Como posso informar ao certbot que o servidor de validação não deve fazer uma solicitação HTTP, mas uma solicitação HTTPS (porta 443), para validar a propriedade do domínio?
O servidor de validação nem precisa validar o certificado do servidor doméstico, pois já usa HTTP por padrão. Talvez eu tenha um certificado autoassinado ou que esteja pronto para renovação, mas isso não deve importar.
Atualmente, estou na situação em que preciso habilitar o encaminhamento da porta 80, bem como um servidor, para criar / renovar certificados. Isso não me permite usar um cronjob para renovar o certificado. Bem, com bastante trabalho, mas já tenho um servidor ouvindo 443, o que também poderia fazer o trabalho.
fonte