Provavelmente tudo já está a par de uma organização como o Let's Encrypt. Já há algum tempo, você pode obter um certificado curinga lá. Nesta breve nota, descreverei alguns momentos não muito óbvios que encontrei.
1. O certificado curinga só pode ser obtido através de plugins DNS:
A validação de domínio dessa maneira é a única maneira de obter certificados curinga no Let's Encrypt.
I.e. nossas opções são um dos plug-ins DNS ou manual + desafios-preferidos = dns-01.
Mais detalhes
aqui .
O uso de plug-ins DNS é descrito em detalhes na documentação no link acima.
Ao usar o modo manual, você precisará adicionar manualmente um registro TXT no DNS. Esta entrada será diferente sempre, ou seja, a renovação automática do certificado, neste caso, só é possível através de ganchos certbot. No mesmo local, a propósito, você pode travar um comando, por exemplo, para reiniciar o nginx.
2. Você precisa usar um servidor com API v.2:
https:
Provavelmente, em versões futuras do certbot, haverá uma transição para o uso da API v.2 por padrão, mas por enquanto assim.
Estou usando o docker para executar o certbot. Muito conveniente. Portanto, o comando para obter um certificado é o seguinte:
docker run -it --rm \ -v /docker/volumes/etc/letsencrypt:/etc/letsencrypt \ -v /docker/volumes/var/lib/letsencrypt:/var/lib/letsencrypt \ -v /docker/volumes/var/log/letsencrypt:/var/log/letsencrypt \ certbot/certbot \ certonly --manual \ --preferred-challenges dns-01 \ --server https://acme-v02.api.letsencrypt.org/directory \ --register-unsafely-without-email --agree-tos \ --manual-public-ip-logging-ok \ -d example.com -d *.example.com
Os resultados do certbot estarão disponíveis em / docker / volumes /, de onde eles podem ser conectados a outros contêineres.
Preste atenção na chave "manual-public-ip-logging-ok" - se você não a especificar, esta pergunta aparecerá na inicialização:
NOTA: O IP desta máquina será registrado publicamente como tendo solicitado este
certificado. Se você estiver executando o certbot no modo manual em uma máquina que não seja
seu servidor, verifique se você está bem com isso.
Você está bem com o seu IP sendo registrado?
Pelo que entendi, embora os endereços não estejam acessíveis em nenhum lugar (mas estejam conectados), sua publicação será em um futuro próximo. Na minha opinião pessoal, uma política um pouco estranha.