Let’s Encryptを標準外のポートで取得する(DNS)

Ubuntuサーバはローカル内のNASとの兼ね合い上、標準外ポートでアクセスするようになっている。
標準外ポートのまま、Let’s EncryptのCertbot+Webrootを使用してSSL証明書を取得する方法をググってみたものの、やはりどうしてもHTTP80 or HTTPS443ポートを開放する必要があったので、別の手段を探してみた。
自動で更新することもできなさそうなので、このページに私自身の覚えとしてメモ。

DNSチャレンジによる認証

 # certbot certonly --manual -d XXXXXXX.xxx --preferred-challenges dns 

Saving debug log to /var/log/letsencrypt/letsencrypt.log
 Plugins selected: Authenticator manual, Installer None
 Obtaining a new certificate
 Performing the following challenges:
 dns-01 challenge for XXXXXX.com
 
 --------------------------------------------------------------------------
 NOTE: The IP of this machine will be publicly logged as having requested this
 certificate. If you're running certbot in manual mode on a machine that is not
 your server, please ensure you're okay with that.
 Are you OK with your IP being logged?
 -------------------------------------------------------------------------- 
(Y)es/(N)o: y
 
 -------------------------------------------------------------------------- 
 Please deploy a DNS TXT record under the name
 _acme-challenge.XXXXXX.com with the following value:
 [キー]
 Before continuing, verify the record is deployed.
 --------------------------------------------------------------------------  
Press Enter to Continue

TeraTermで上記コマンドを実行してキーが表示されるので、キーをコピーする。
Press Enter to Continueのまま放置してDNSの設定画面に。

VALUE-DOMAINのDNS設定画面を開き、以下の通りレコードを追加する。

txt _acme-challenge.[サブドメイン] [コピーしたキー]

設定が反映されるまで5分~10分程度待ってから、TeraTerm側でEnterキーを押すと認証が始まる。
※早すぎるとDNS設定が反映されないまま認証が始まってしまい認証に失敗する。
 コーヒーでも飲みながらゆっくり待ちましょう。

IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
  /etc/letsencrypt/live/XXXXXX.com/fullchain.pem
  Your key file has been saved at:
  /etc/letsencrypt/live/XXXXXX.com/privkey.pem
  Your cert will expire on 2019-05-15. To obtain a new or tweaked
  version of this certificate in the future, simply run certbot
  again. To non-interactively renew all of your certificates, run
  "certbot renew"
- If you like Certbot, please consider supporting our work by:
  Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
  Donating to EFF:                    https://eff.org/donate-le

更新時はこれを実行するかは未定だが、Apaceh2のdefault-ssl.confを編集してApache2を再起動する。
(default-ssl.confの有効化はぐぐってね!)

$ sudo ls -l /etc/letsencrypt/live/XXXXXX.com/
<記載省略/以下のファイルが存在することを確認する>
 cert.pem
 chain.pem
 fullchain.pem
 privkey.pem

$ sudo vi /etc/apache2/sites-available/default-ssl.conf
<下記の通りパスを設定する>
SSLCertificateFile      /etc/letsencrypt/live/XXXXXX.com/cert.pem
SSLCertificateKeyFile   /etc/letsencrypt/live/ XXXXXX.com/privkey.pem 
SSLCertificateChainFile /etc/letsencrypt/live/XXXXXX.com/chain.pem 

$ sudo systemctl restart apache2
$

これでOK!

参考サイト

以下のサイトを参考に設定いたしました。とても分かりやすかったです。