APIが整備されてるCloudflareと1バイナリのLet's Encryptクライアントであるlegoの組み合わせでお手軽にワイルドカードな証明書を手に入れられる。
この機会にドメイン自体をCloudflareに移管したので更新料も安くなった。
aptで入るlegoは古いのでReleases · go-acme/legoから落とす必要があり、CloudflareのAPI TokenはAll zones - Zone:Read, DNS:Edit以上が必要。
更新はcron.monthlyにまかせ、証明書が更新されたらNginxをリロードする。
wget https://github.com/go-acme/lego/releases/download/v3.6.0/lego_v3.6.0_linux_amd64.tar.gz tar xf lego_v3.6.0_linux_amd64.tar.gz lego sudo mv lego /usr/local/bin/lego CLOUDFLARE_DNS_API_TOKEN=xxxxxxxxxx sudo -E lego --accept-tos --path /etc/letsencrypt --dns cloudflare --domains example.com --domains *.example.com --email letsencrypt@example.com run sudo chmod -R a=rX,u+w /etc/letsencrypt sudo tee /etc/cron.monthly/lego << EOM > /dev/null #!/bin/sh CLOUDFLARE_DNS_API_TOKEN=xxxxxxxxxx lego --accept-tos --path /etc/letsencrypt --dns cloudflare --domains example.com --domains *.example.com --email letsencrypt@example.com renew --renew-hook systemctl reload nginx EOM sudo chmod 755 /etc/cron.monthly/lego