Dalam perjalanan saya mencari solusi untuk menggunakan Let’s Encrypt untuk subdomain tapi beda server (dan alamat IP tentunya) saya ketemu satu opsi bahwa validasi kepemilikan domainnya bisa lewat record DNS. DNS Challenge namanya. Tapi metode ini masih belum jadi solusi langsung dari masalah saya.

Bagaimana cara membuat sertifikat SSL dengan mode ini? Sama mudahnya dengan menggunakan certbot biasanya yang manual tapi ada parameter tambahan saja:

certbot -d sub.nama_domain.com --manual --preferred-challenges dns certonly

Saya pakai contoh subdomain diatas, tapi anda bisa kok pakai nama_domain.com saja.

Nanti akan muncul beberapa pertanyaan dan permintaan konfirmasi untuk proses verifikasinya:

Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org

-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf. You must agree
in order to register with the ACME server at
https://acme-v01.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: A
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for forum.servernesia.com

-------------------------------------------------------------------------------
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
-------------------------------------------------------------------------------
(Y)es/(N)o: Y

-------------------------------------------------------------------------------
Please deploy a DNS TXT record under the name
_acme-challenge.forum.servernesia.com with the following value:

pSqVbt5XndcILvq2VS8De2IxrP-CrYjTkFMESIGk2wo

Once this is deployed,
-------------------------------------------------------------------------------
Press Enter to Continue

Intinya anda perlu membuat sebuah TXT record pada DNS hosting anda dengan nama dan nilai diatas. Kalau sudah selesai dan terpropagasi maka kembali ke certbot dan tekan ENTER untuk melanjutkan prosesnya.

Kalau sukses terverifikasi maka akan didapatkan sertifikat SSLnya saja (fullchain.pem, privkey.pem, dan chain.pem). Hasilnya diletakkan pada direktori /etc/letsencrypt/live/nama_domain.com/.

Referensi lebih lengkap: https://certbot.eff.org/docs/using.html#manual