色々と試したり調べたところ、port の変更は出来ない模様。 --http-01-port で変更できるかもと思ったが test 実装と書いてあり、思ったようには動作してくれなかった。まあ、443は外部公開していなかったので一時的に開ける。

./certbot-auto certonly --standalone --standalone-supported-challenges tls-sni-01 -w /var/www/html -d DOMAIN

で一応うまくいった。

次は nginxの設定。

listen 54040 ssl default_server;
listen [::]:54040 ssl default_server;

server_name DOMAIN;
proxy_set_header Host $http_host;

location / {
     proxy_pass http://SUBSONIC;
     proxy_redirect http:// https://;
}

で、取り敢えず接続できた。色々と詰めなければいけないところもあるが。

で、今度は renew の為に色々と試してみたのだが、webroot を使った cert がうまく動かなかった(これも portが443じゃないせいなのかも)ので、standaloneを使うことでひとまず回避することに。
で、nginxがそのportを使ってないのをいいことに、nginxは止めずに更新後 restartするようにした。restart が必須かどうかは調べていないが、まあ問題はないだろう。