<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <div class="moz-cite-prefix">On 08/07/2019 14:31, Dominik Menke
      wrote:<br>
    </div>
    <blockquote type="cite"
      cite="mid:0822ca52-a495-b412-57a9-38e79c40fd55@digineo.de"><br>
      Just for clarification, in your example.com zone, you have an NS
      record pointing to your "challenge DNS server", i.e.
      <br>
      <br>
          _acme-challenge       IN   NS   nsacme.example.org.
      <br>
      <br>
      right? What about subdomains of example.com? Won't they need an NS
      record as well?
      <br>
      <br>
          _acme-challenge.db    IN   NS   nsacme.example.org.
      <br>
          _acme-challenge.git   IN   NS   nsacme.example.org.
      <br>
          ; etc.
    </blockquote>
    <p><br>
    </p>
    <p>That's correct: a separate NS record for each domain you want a
      certificate for.  This is static, so you just add it manually the
      first time you want a certificate.<br>
    </p>
    <p>The top-level one should also allow you to get a <a
        moz-do-not-send="true"
href="https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579">wildcard
        certificate</a>, but I've not tried that yet.</p>
    <p>Note that if you have split DNS, e.g. where "int.example.org" is
      an internal domain on hidden private DNS servers, then on the
      outside you can just have a single NS record:</p>
    <p>int    IN    NS    nsacme.example.org.</p>
    <p>Regards,</p>
    <p>Brian.<br>
    </p>
  </body>
</html>