我是一个新手，计划在我的基于MacOS的服务中使用letsEncrypt。目前，我正在使用我自己的CA，并将其根目录分发给需要它的系统。但我需要更广泛的覆盖范围。

我一直在研究letsEncrypt，我的主要问题是我想让它完全自动化，这样我就可以设置cron作业。我怀疑，覆盖主网站将非常容易，但目前我正在使用通配符证书来覆盖所有服务。我可以为我使用的所有服务使用特定的证书，只要我可以依赖自动续订，并且服务不会中断。

我的第一个问题是：如果我使用DNS质询，这是否意味着每次续订时，_acme-challengle TXT记录中的质询都必须更改？如果是这样的话，我无法实现自动化，因为我的DNS是在外部托管的(实际上是拆分DNS)

我的第二个问题是：如果我不使用通配符，并且我试图获得(比方说)www.rna.nl和mail.rna.nl(用于后缀)的证书，那么控制www.rna.nl的webroot就足够了吗？或者mail.rna.nl是否也必须有一个侦听端口443的Web服务器？Hi@gctwnl

Gctwnl：

如果我使用DNS质询，这是否意味着每次续订时，_acme-challengle TXT记录中的质询都必须更改？

是的，该值将会改变。新顺序->新挑战->新挑战令牌->新密钥授权->密钥自动生成的新SHA256->存储为值。但是，如果您的提供商不支持dns-api，您可以使用api-Support创建另一个dns-服务的cname。

Gctwnl：

如果我不使用通配符，并且我试图获得(比方说)www.rna.nl和mail.rna.nl(用于后缀)的证书，那么控制www.rna.nl的webroot就足够了吗，或者mail.rna.nl是否也必须有一个侦听端口443的Web服务器？

你必须证明你控制着每一个域名。因此，如果您使用http-01验证，则在mail.rna.nl下需要一个Web服务器。但这并不是真正的问题。

使用现有的Web服务器，添加新的A记录mail.rna.nl->相同的IP，添加一个重定向的mail.rna.nl->www.rna.nl，即可使用现有的Web服务器。谢谢。我不能为mail.rna.nl添加另一个指向与www.rna.nl相同的IP的A记录，因为两者都有不同的IP地址。但我当然可以为mail.rna.nl添加一个带有空网站的虚拟主机，并允许端口443通信到该网站。

我不能为mail.rna.nl添加另一个指向与www.rna.nl相同的IP的A记录，因为两者都有不同的IP地址。

如果您的mail.rna.nl有另一个IP地址和自己的A记录，您必须在那里有一个正在运行的Web服务器。

Gctwnl：

但我当然可以为mail.rna.nl添加一个带有空网站的虚拟主机，并允许端口443通信到该网站。

没有A-记录-->>IP地址，这个网站是不可见的。是的，我明白这一点。Mail.rna.nl目前只监听外界的邮件端口，www.rna.nl监听80/443。为了能够为mail.rna.nl上的邮件创建letsENCRYPT证书，我必须确保mail.rna.nl正在运行一个向外部世界公开的Web服务器。我宁愿不要，因为它运行的是一个网络邮件环境，我不想向外部世界暴露。