Port 80 nur für Let’s Encrypt freigeben (kein allgemeiner HTTP-Zugriff) – wie korrekt in ISPConfig umsetzen?

[iceget]

Hallo zusammen,

ich habe eine ISPConfig 3 Installation (aktuell mit Apache) auf einem Server, bei dem Port 80 zwar erreichbar ist, aber ich möchte, dass ausschließlich die Let’s Encrypt-HTTP-01-Challenge über diesen Port funktioniert.
Alle anderen HTTP-Zugriffe sollen blockiert werden (keine Weiterleitung auf 443, kein Zugriff auf Webseiteninhalte).

Hintergrund:

• HTTPS (Port 443) ist nur innerhalb eines VPN erreichbar (nicht öffentlich).
• Let’s Encrypt braucht allerdings Zugriff auf Port 80 für die Zertifikatserneuerung.
• Derzeit leitet ISPConfig automatisch alles auf HTTPS weiter, was Let’s Encrypt-Requests blockiert.
• Ziel: Port 80 dauerhaft offen lassen, aber nur für /.well-known/acme-challenge/*.

Fragen:

1. Wie kann ich das in ISPConfig sauber umsetzen, sodass die HTTP-Challenge funktioniert, aber der Rest geblockt wird?
2. Sollte man das über „Apache Direktiven“ pro Website lösen, oder gibt es eine elegantere zentrale Lösung (z. B. globaler Port-80-vHost nur für ACME)?
3. Muss ich dazu bestimmte Standard-Redirects von ISPConfig deaktivieren, und wenn ja, wie?

Setup:

• Debian 12
• Apache 2.4 (mit PHP-FPM)
• ISPConfig 3.2.x
• Zertifikate über Let’s Encrypt (integrierte Funktion von ISPConfig)

Zielzustand:

• http://domain.tld/.well-known/acme-challenge/... → erreichbar
• http://domain.tld/ → geblockt oder 403
• Keine Weiterleitung auf HTTPS für die Challenge
• HTTPS bleibt intern (über VPN) voll funktionsfähig.

Falls jemand ein funktionierendes Beispiel für die Apache-Direktiven (oder ggf. nginx) hat, wäre das super.
Danke schonmal für jeden Hinweis oder ein Best-Practice-Snippet!

Danke und lg iceget