Fájlba írni? Ugyanmár. Az auth_hook nálam egy HTTP POST-ot csinál, ami feltolja egy privát adatbázisba az CN-t és a hozzá tartozó authentikációs tokent. (A webservice-nek ráadásul csak INSERT joga van az adott SQL táblára)
A ^/.well-known/acme-challenge/ pedig egy rewrite szabállyal globálisan rá van irányítva egy validátor programra, ami visszaadja az adatbázisból a megfelelő tokent.
Ezzel korlátlan számú frontend webszerveren, korlátlan számú virtualhostot lehet authentikálni, 1 darab rewrite és egy darab kiszolgáló-oldali program + SQL tábla segítségével.
A certbot pedig nagyjából nobody-ból fut.
Tény, hogy igényelt kb. 20 perc programozást (teszteléssel együtt) az implementálása :)