Let’s Encrypt начал выдавать бесплатно Wildcard сертификаты

С 13 марта 2018 года Let’s Encrypt начал выдавать бесплатно Wildcard сертификаты. Для получения необходимо использовать сервер «https://acme-v02.api.letsencrypt.org/directory» и иметь совместимую версию клиента из списка https://letsencrypt.org/docs/client-options/

./certbot-auto --server https://acme-v02.api.letsencrypt.org/directory \
-d *.yourdomain.ru -d yourdomain.ru --manual --preferred-challenges dns-01 certonly

В процессе ответов на вопросы, для подтверждения владением доменом, необходимо создать в DNS TXT запись:

Please deploy a DNS TXT record under the name
_acme-challenge.yourdomain.ru with the following value:

IChfif9o9RqHKSX9XKkRz5U1Re9ncS1wdK2SFQtEYww

Успешная установка:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/yourdomain.ru/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/yourdomain.ru/privkey.pem
   Your cert will expire on 2018-06-13. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

Установка certbot на новый сервер:

mkdir -p /opt/{bin,certbot/bin} \
  && curl -sS \
    -o /opt/certbot/bin/certbot-auto \
    https://dl.eff.org/certbot-auto \
  && chmod 711 /opt/certbot/bin/certbot-auto \
  && ln -sf \
    /opt/certbot/bin/certbot-auto \
    /opt/bin/certbot-auto

Автообновление сертификатов:

# cat /etc/cron.d/certbot
01 23 * * * root /opt/certbot/bin/certbot-auto renew --post-hook "service nginx reload"