Essa semana a EFF finalmente anunciou a feature que todos esperavam, wildcard com letsencrypt.

Até agora o certbot não foi atualizado no repositório epel do centos 7.

Para utilizar essa nova feature teremos que baixar o executável do certbot-auto direto da EFF.

wget https://dl.eff.org/certbot-auto

chmod +x certbot-auto

E depois executar com os parâmetros para gerar o certificado wildcard.

./certbot-auto certonly --email email@exemplo.com.br \
-d exemplo.com.br -d *.exemplo.com.br --keep --renew-by-default \
--manual --preferred-challenges dns --register \
--server https://acme-v02.api.letsencrypt.org/directory

O cerbot vai pedir que você crie uma entrada TXT no seu serviço de DNS para garantir que você é o dono do domínio, após criar o registro é só configurar no seu nginx ou apache.

No meu nginx ficou assim a configuração

   ssl_certificate /etc/letsencrypt/live/exemplo.com.br-0001/fullchain.pem;
   ssl_certificate_key /etc/letsencrypt/live/exemplo.com.br-0001/privkey.pem;

Bugs

Até a data de publicação desse post não é possível utilizar o certificado wildcard no domínio raiz, por esse motivo coloquei para gerar um certificado para o exemplo.com.br que ficara em outra pasta.