APIが整備されてるCloudflareと1バイナリのLet's Encryptクライアントであるlegoの組み合わせでお手軽にワイルドカードな証明書を手に入れられる。
この機会にドメイン自体をCloudflareに移管したので更新料も安くなった。

aptで入るlegoは古いのでReleases · go-acme/legoから落とす必要があり、CloudflareのAPI TokenはAll zones - Zone:Read, DNS:Edit以上が必要。
更新はcron.monthlyにまかせ、証明書が更新されたらNginxをリロードする。

wget https://github.com/go-acme/lego/releases/download/v3.6.0/lego_v3.6.0_linux_amd64.tar.gz
tar xf lego_v3.6.0_linux_amd64.tar.gz lego
sudo mv lego /usr/local/bin/lego
CLOUDFLARE_DNS_API_TOKEN=xxxxxxxxxx sudo -E lego --accept-tos --path /etc/letsencrypt --dns cloudflare --domains example.com --domains *.example.com --email letsencrypt@example.com run
sudo chmod -R a=rX,u+w /etc/letsencrypt

sudo tee /etc/cron.monthly/lego << EOM > /dev/null
#!/bin/sh
CLOUDFLARE_DNS_API_TOKEN=xxxxxxxxxx lego --accept-tos --path /etc/letsencrypt --dns cloudflare --domains example.com --domains *.example.com --email letsencrypt@example.com renew --renew-hook systemctl reload nginx
EOM
sudo chmod 755 /etc/cron.monthly/lego