Damit die Beantragung bzw. automatische Verlängerung durch den ACME-Client funktionieren kann, muss im Webserver ein globaler Alias für das Verzeichnis mit den Challenge-Dateien angelegt werden. Der ACME-Client legt pro Domain, für die er konfiguriert ist, eine Challenge in dieses Verzeichnis und ruft es nach folgendem Schema ab:

http://www.example.org/.well-known/acme-challenge/tgyNm5WMyNrsz6ngljCm1Rp7tJOZfMmb0A1F8KvGOKk

Um sensible Bereiche mit Passwortschutz zur Validierung der Zertifikate nicht komplett freischalten zu müssen, gibt es zusätzlich einige Parameter, die HTTP Basic-Auth im Apache verzeichnisspezifisch deaktivieren. Zuletzt können auch Rewrite-Regeln dafür sorgen, dass der globale Alias nicht wie gewünscht funktioniert. Auch dafür gibt es eine entsprechende Konfiguration zum Deaktivieren von mod_rewrite für die ACME-Challenges.