我有3个域名。

这三家公司都有自己的挑战区。

Zones_acme-challenge.example.net SOA in SOA ns1.systron.de.Info.systron.de.(

ZONE_ACME-Challenge.Example.com SOA in SOA ns1.systron.de.Info.systron.de.(

Zones_acme-challenge.systron.de soa中的ns1.systron.de.Info.systron.de.(

Systron.de拥有DNSSEC。

LetsEncrypt续订工作适用于Example.net和Example.com，

但对systron.de并非如此。

Systron.de的letsdebug.net向我展示了：

_acme-challenge.systron.de的DNS响应存在致命的DNSSEC问题：验证

失败：没有来自46.237.197.205的签名

我喜欢将区域划分为静态和动态部分的方式。

有没有办法让我保持分居状态？Hi@rag

RAG：

Systron.de拥有DNSSEC。

看来问题已经解决了。LetsDebug是绿色的，相同的：

Dnssec-analyzer.verisignlabs.com

DNSSEC分析仪-systron.de

VeriSign实验室的DNSSEC Analyzer是一个在线工具，用于帮助诊断DNSSEC签名的名称和区域的问题。

TXTRecordError

致命

尝试在_acme-challenge.systron.de上查找TXT记录时出错。让我们加密CA在此记录上遇到的任何解析器错误都将导致证书颁发失败。

_acme-challenge.systron.de的DNS响应存在致命的DNSSEC问题：验证失败：没有来自46.237.197.205的签名，RAG：

_acme-challenge.systron.de的DNS响应存在致命的DNSSEC问题：验证失败：46.237.197.205没有签名

好吧，我用了错误的验证方法。但如果您使用DNSSEC，则修复以下错误：

Dnssec-analyzer.verisignlabs.com

DNSSEC分析器-_acme-challenge.systron.de

VeriSign Labs的DNSSEC Analyzer是一个在线工具，可帮助诊断DNSSEC签名的名称和区域的问题。

_acme-challenge.systron.de

在systron.de区域中找不到_acme-challenge.systron.de的DS记录

未找到DNSKEY记录

无NSEC记录作为响应

找不到RRSIG，为什么让LetsEncrypt检查DNSSEC上的域？，RAG：

为什么LetsEncrypt要加密DNSSEC上的校验域？

因为域名所有者想要这个。

您是systron.de的域名所有者吗？或者为什么不能添加所需的记录？JuergenAuer：

因为域名所有者想要这个。

一点儿没错。对于证书颁发机构来说，不颁发不该颁发的证书甚至比颁发应该颁发的证书更重要。(这是最终使证书对访问站点的最终用户有用的原因。)因此，让我们加密希望使用机器可以自动检查的每一个信息源，这些信息源可能有助于确认域所有者是否同意每个证书颁发请求。DNSSEC是一个可以帮助确认这一点的信息来源，在某些情况下有助于防止颁发域所有者不想要的证书。我解决了它。我的DNSSEC中存在配置错误。

谢谢你，碎布：

我的DNSSEC中存在配置错误

是啊。现在，您的DNSSEC配置看起来很好。