Все протестировано и работает на маршрутизаторе Xiaomi Mi Router 3G с прошивкой Padavan.
Начнем:
Устанавливаем необходимые пакеты:
opkg install curl ca-certificates ca-bundle
Скачиваем и устанавливаем скрипт:
curl https://get.acme.sh | sh
Регистрируемся и добавляем домен le.klimov.su (заменить на свой):
В DNS домена добавляем NS записи для le.klimov.su (заменить на свой)
А также CNAME запись:
_acme-challenge CNAME _acme-challenge.le.klimov.su
Примечание: эту запись также можно использовать для других доменов.
В папке acme.sh в файле account.conf добавляем:
SAVED_LUA_Key='тут ключ API, берется в настройках api.luadns.com'
SAVED_LUA_Email='ваша почта для авторизации на api.luadns.com'
Далее выполняем команду (домен меняем на свой):
/opt/home/admin/.acme.sh/acme.sh --issue -d klimov.su --challenge-alias le.klimov.su --dns dns_lua -d *.klimov.su
Если сертификат получен, устанавливаем его и перезагружаем nginx (домен меняем на свой и если необходимо пути):
/opt/home/admin/.acme.sh/acme.sh --install-cert -d klimov.su --key-file /opt/etc/ssl/klimov.su.pem --fullchain-file /opt/etc/ssl/klimov.su.fullchain.pem --reloadcmd "/opt/etc/init.d/S80nginx restart"
Все радуемся Wildcard-сертификату!
Дополнительно:
При установке в крон должен добавится скрипт, если не добавился добавить вручную (необходимо для автоматического обновления сертификатов):
2 0 * * * "/home/admin/.acme.sh"/acme.sh --cron --home "/home/admin/.acme.sh" > /dev/null
Создаем ключи Диффи-Хеллмана для обеспечения поддержки PFS:
openssl dhparam -out /opt/etc/ssl/dhparam.pem 2048
Для проверки SSL конфигурации веб-сервера есть хороший сервис SSL Server Test.