Traefik + k8s + Let's Encrypt wildcard SSL + Проблема Cloudflare

Я пытаюсь настроить обратный прокси-сервер с SSL с использованием подстановочных знаков, используя Traefik , с вызовом DNS для зоны Cloudflare.

У меня есть эта конфигурация в k8s:

kind: ConfigMap
apiVersion: v1
metadata:
  name: traefik-https
  namespace: kube-system
data:
  traefik.toml: |
    # traefik.toml
    defaultEntryPoints = ["http","https"]
    [entryPoints]
      [entryPoints.http]
      address = ":80"
      [entryPoints.http.redirect]
      entryPoint = "https"
      [entryPoints.https]
      address = ":443"
      [entryPoints.https.tls]
    [acme]
    email = "notmyrealemail@example.com"
    storage = "/etc/traefik/acme.json"
    entryPoint = "https"
    caServer = "https://acme-v02.api.letsencrypt.org/directory"
    [[acme.domains]]
    main = "*.notmyrealsite.com"
    sans = ["notmyrealsite.com"]
    [acme.dnsChallenge]
    provider = "cloudflare"

Я передаю правильные переменные окружения CLOUDFLARE_API_KEY и CLOUDFLARE_EMAIL env в восходящем контейнере, но вижу эту ошибку в консоли:

time = "2018-06-13T09: 47: 39Z" level = error msg = "Невозможно получить ACME сертификат для доменов \ "*. notmyrealsite.com, notmyrealsite.com \": не удается получить сертификаты: acme: Error -> Один или несколько доменов имели проблема: \ n [notmyrealsite.com] acme: Ошибка 403 - urn: ietf: params: acme: error: unauthorized - Неверная запись TXT \ "HREckyrZXY7uCVLaUkoYzadxkHbwfFavNWS_v14yMzk \" найдено по адресу _acme-challenge.notmyrealsite.com \ n "

Я не уверен, означает ли это, что вход в CF успешен и был обновлен (но только с неправильной записью TXT), или это то, что он ожидает увидеть - а там ничего нет.

Просмотр записей DNS в CF не обнаруживает вообще никаких записей TXT.

(Я использую только бесплатный тарифный план CF, поэтому не получаю необработанных журналов чтобы узнать, какие попытки были предприняты против DNS)

Что могло быть причиной несоответствия TXT?