https://letsencrypt.org/ja/docs/challenge-types/
Let’s Encrypt は DNS-01 検証で TXT レコードを検索するときに DNS 標準に従っているので、 CNAME レコードや NS レコードを使用することで、他の DNS ゾーンへチャレンジの回答を移譲できます。 この機能は、検証用のサーバーやゾーンへ _acme-challengeサブドメインを移譲するときに利用することができます。 また、あなたの DNS プロバイダの更新が遅くて、より更新の早いサーバーに移譲したい場合にも利用できます。
ほとんどの DNS プロバイダでは、DNS レコードを更新してからプロバイダのサーバー全体に情報が反映されるまで ゾーン転送における「伝播時間 (propagation time)」の遅延が生じます。 複数のサーバーに同一の IP アドレスを持たせることができるエニーキャストが利用されることも多く、 世界のどの場所にいるかによって、同じ IP アドレスでも Let’s Encrypt とは違うサーバーと通信してしまい、 レスポンスが異なることがあるため、正確な伝搬時間を測定するのは難しい場合があります。 最善の DNS API では、完全に伝搬したかどうかを自動的にチェックする方法が提供されています。 DNS プロバイダがこの手段を提供していない場合、検証を実行する前に更新した情報が伝搬されていることを確実にするために、 クライアントが十分長い時間 (通常は最大1時間) 更新を待機するように設定する必要があります。
https://0sn.net/posts/20220217/cloudflaredns-certbot/
1. whois
CloudflareのDNSを使っている場合はAPIを利用して自動化することができます。
2. history
1. APIトークンの取得と設定 2. Certbotの設定 Certbotとプラグインをインストール 3. 証明書を発行する
Using Certbot With Cloudflare’s Reverse Proxy https://www.techaddressed.com/tutorials/certbot-cloudflare-reverse-proxy/