我设法为certbot--apache创建了证书，以便为apache准备好文件。然而，由于阿帕奇不支持DNS记录或Web内容，所以当我在我的家庭路由器后面运行时，它出现了故障。我找到了一些(！)安静的时间让我的RPI正确地上网(没有路由器)，并在更新我的DNS条目以获得正确的IP地址后创建证书。生活是伟大的，…

然而，每次我必须更新我的证书，直接上网并跳过路由器，更新证书时，我都必须重做这一点吗？(这是一个有点痛苦的…)或者Certbot将使用现有的证书作为现有的证明并从那里续订？或者，有没有不同的方式来实现续订命令，这样我就可以在没有干预(如cron)的情况下续订证书，并留在我的路由器后面？有没有一个“永久”的dns记录可以让certbot在不需要我人工干预的情况下续订？jfMessier在文章3中解决了这个问题

谢谢。我试过了，它真的起作用了。令我困惑的是，尽管我在443/tcp上有一个入站连接重定向到我在443/tcp上的内部计算机，但它在初始设置时不起作用。使用相同的计算机设置，直接连接到网络上(在域名系统更新和传播…之后，Hi@jfMessier，

如果您可以使路由器将入站端口443连接转发到您的服务器(即使在续订期间是临时的)，您就可以通过TLS-SNI-01质询，而无需服务器的公共IP地址。

否则，您应该考虑使用DNS-01质询方法，而不是TLS-SNI-01。正如您所看到的，certbot--Apache不支持这一点，但您可以使用不同的客户端而不是Certbot，或者使用certbot-一种手册-如果您喜欢Certbot将证书安装到您的Apache配置中的功能。像acme.sh这样的客户端与DNS提供商API进行了更广泛的集成，以帮助自动完成这一挑战。

如果不能在端口443或端口80上接收入站连接，或者不能更改DNS记录，则无法从We‘s Encryption接收证书。设置单个静态DNS记录是不够的；每次您请求新证书时，请求的DNS记录都会更改。与早期关于We‘s Encrypt设计的建议相反，在请求新证书时，现有证书不能以这种或那种方式作为证据。

如果您的服务器不能供公众访问，并且不能由您自己的计算机以外的设备访问，您可能会更乐于使用自签名证书。在这种情况下，人们可以争辩说，它实际上提供了比CA颁发的证书更好的安全性，而不是更差的安全性。谢谢。我试过了，它真的起作用了。令我困惑的是，尽管我在443/tcp上有一个入站连接重定向到我在443/tcp上的内部计算机，但它在初始设置时不起作用。在相同的计算机设置下，直接连接到网络上(在DNS更新和传播之后)，它工作得无懈可击。我担心我将不得不一年四次在互联网上建立直接连接…但设置现在可以在…上运行我成功续签了我的证书。

作为后来阅读这篇文章的其他人的参考，我的设置是一台树莓PI 3，通过电缆调制解调器连接到家庭路由器后面。路由器将端口22(SSH)和443(HTTPS)上的流量直接重定向到我的RPI。端口80不会重定向到内部。RPI安装了最新的普通Raspbian，以及Apache2和OpenSSL。我还安装了Shellinabox作为我的站点的一个子页面，以便从只允许443/tcp出站的位置访问我的Linux机器，并进行深入的检查。我使用dyndns主机名是为了始终拥有正确的IP地址，我的域的其中一个主机名是指向此dyndns主机名的CNAME。