갱신 성공은 파일 생성이 아니라 외부 엔드포인트 교체다

ACME가 발급을 자동화해도 배포와 관측은 별도입니다. 검증 경로, 인증서가 붙는 종단, 실패 알림을 하나의 반복 가능한 거래로 묶습니다.

1 · SIGNAL

갱신 시점

ARI 또는 클라이언트 스케줄이 재발급 시작

2 · ORDER

식별자 요청

필요한 SAN 집합으로 새 Order 생성

3 · PROVE

도메인 통제

HTTP-01 또는 DNS-01 Challenge 충족

4 · ISSUE

CSR · 인증서

Finalize 후 발급 체인을 내려받음

5 · DEPLOY

반영 · 외부 확인

Reload 뒤 실제 TLS 응답을 다시 검사

HTTP-01

증거80/tcp의 /.well-known/acme-challenge/ 토큰경계와일드카드 불가 · 모든 프런트엔드에서 응답

DNS-01

증거_acme-challenge 이름의 TXT 값경계와일드카드 가능 · API 자동화, 전파·정리 필요
DNS 권한최소 권한 API 또는 CNAME/NS 검증 위임
배포 Hook원자적 교체 뒤 성공한 프로세스만 reload
외부 ProbeSAN·체인·지문·만료일을 서비스 주소에서 검사
실패 예산반복 실패와 잔여 수명 임계값을 함께 알림