更新的答案（见下面的原始答案）

renew在我最初的回答中，我关注的是使用命令时不需要您提供的脚本这一事实。但是，我不确定该renew命令是否真的适用于这种情况。

正如评论中的 cdhowie 和 bobpaul 所说：certbot renew是一种非交互模式，它与 dns 挑战结合使用 - 要求您通过--manual-auth-hook参数提供脚本。所述脚本必须能够设置TXT记录。您还可以通过参数提供另一个脚本进行清理--manual-cleanup-hook。

如果您提供这些参数，整个过程将自动运行，无需任何交互。

如果您不提供这些参数，则 certbot 将失败：

/opt/certbot # certbot renew --force-renewal
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/foobar.w9f.de.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Could not choose appropriate plugin: The manual plugin is not working; there may be problems with your existing configuration.
The error was: PluginError('An authentication script must be provided with --manual-auth-hook when using the manual plugin non-interactively.',)

如果要通过手动模式更新证书，则必须重新运行用于获取证书的命令。在这种情况下，您的脚本是一个不错的选择，因为该命令不会查看当前的证书/配置，而是要求您通过参数或以交互模式certonly提供域名。-d

当我运行“certbot renew”时，它会在不使用我的脚本的情况下自动更新所有这些吗？

TL;DR：是的，应该。

让我们看一下certbot 的文档：

从 0.10.0 版本开始，Certbot 支持更新操作来检查所有已安装的证书是否即将到期并尝试更新它们。最简单的形式就是

certbot 更新

到目前为止，一切都很好。

此命令尝试更新任何先前获得的在 30 天内到期的证书。

这应该回答你的问题。当心：我不知道如何certbot处理将证书移动到不同目录的情况。

稍后在同一段中：

除非您指定其他插件或选项，否则最初颁发证书时使用的相同插件和选项将用于续订尝试。与 不同certonly，renew作用于多个证书并始终考虑每个证书是否即将到期。

所以，是的；certbot应该在没有脚本帮助的情况下更新所有证书。

我如何实际使用 DNS 质询创建新证书？

您在帖子开头发布的命令有什么问题？ certbot -d example.com --manual --preferred-challenges dns certonly将使用 dns 质询获取 example.com 的证书。

创建证书的步骤如下：

• 运行certbot您发布的命令
• 等待命令显示 DNS TXT 记录
• 创建该 TXT 记录
• 继续certbot命令
• 获取指定域的证书
• 删除 TXT 记录（因为您只需要它来创建和更新一个新的）

如果你想自动化整个过程，你可能想看看像乐高这样支持几个DNS 提供商的工具。