Prinzip

• Das Ganze ist skriptbasierend.
• Let’s Encrypt gibt Ihrem ACME-Client einen Token
• Sie müssen dann in der Zone ihres Nameservers für die FQDN einen TXT Record anlegen der diesen Token enthält.
• Sobald Ihr ACME-Client Let’s Encrypt mitteilt, dass der Zoneneintrag fertig ist, versucht Let’s Encrypt diesen TXT Record abzurufen.
• Wenn unsere Validierungsprüfung des Nameservers positiv, wird die Validierung als erfolgreich angesehen.
• Sie können mit der Ausstellung Ihres Zertifikats fortfahren.
• Wenn noch nicht geschehen, erzeugen Sie einen PrivKey und dazu einen CSR.
• Dieser wird dann an Letsencrypt geschickt und Letsencrypt stellt dann das Zertifkat aus.

Vorteile

• Ihr könnt hier Wildcard Domain bedienen.
• Der ACME Client muss nicht von aussen erreichbar sein.
• Also hinter einer Firewall.

Nachteile

• Zugang zum Nameserver ist notwendig
• Schwieriger zu konfigurieren.

Quelle

• https://letsencrypt.org/de/docs/challenge-types/