Wildcard Zertifikat mit Let’s Encrypt

Let’s Encrypt hatte ich ja schonmal hier im Blog und benutzte es immer noch für diverse Subdomains wie den Blog oder Cloud oder E-Mails und eben auch die Veröfflichung des Heimischen Smart Home Steuerung ins Internet.
Es war immer nervig, alle 90 Tage das Zertifikat auszutauschen, weil das auf eine andere Quelle abzielt als die restlichen Subdomains.
Fritz!Box -> Portfreigabe 80 auf Pi -> Zertifkat starten -> Portfreigabe entfernen usw …

Wie ich heute mitbekommen habe, hat Let’s Encrypt nun das Feature veröffentlich Wildcards zu erstellen, im Internet konnte ich dazu kein Tutorial bzw. Befehl finden, deshalb hier mal für Leute, die auch danach suchen gehen:

./letsencrypt-auto certonly –rsa-key-size 4096 –agree-tos -d *.domain.tld –server https://acme-v02.api.letsencrypt.org/directory –authenticator manual

Authentifizieren muss man sich dann über ein TXT Record im DNS
Ablauf ist wie folgt:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
 Plugins selected: Authenticator manual, Installer None
 Obtaining a new certificate
 Performing the following challenges:
 dns-01 challenge for unixa.de
------------------------------------------------------
NOTE: The IP of this machine will be publicly logged as having requested this certificate. If you're running certbot in manual mode on a machine that is not your server, please ensure you're okay with that.
 Are you OK with your IP being logged?
 ------------------------------------------------------
 (Y)es/(N)o: yes
 ------------------------------------------------------ 
Please deploy a DNS TXT record under the name
 _acme-challenge.unixa.de with the following value: 
ZENSIERT - Hier könnte ihr Code stehen
Before continuing, verify the record is deployed.
------------------------------------------------------ 
Press Enter to Continue
 Waiting for verification...
 Cleaning up challenges IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/unixa.de/fullchain.pem
 Your key file has been saved at:
 /etc/letsencrypt/live/unixa.de/privkey.pem
 Your cert will expire on 2018-06-12. To obtain a new or tweake.
 version of this certificate in the future, simply run
 letsencrypt-auto again. To non-interactively renew *all* of your
 certificates, run "letsencrypt-auto renew"

Das wars – Zertifikat noch in Configdateien abändern (einmalig, den rest machen Links) und schon hat man ein Zertifikat für alle Domains.
Für den externen Pi einfach das generierte Zertifikat drauf laden und schon läuft das auch mit nur einem Zertifikat.
Ich habe lange auf das Feature gewartet, danke Let’s Encrypt!