А как можно получить один letsencrypt на все поддомены?

wildcard certificate называется получать через добавление TXT-записей в DNS

вопрос не сюда почитайте о certbot, например

Есть мануал как это сделать?

https://certbot.eff.org/

вот выше два примера же... если речь о платном - то читать доки соответствующего CA или их реселлеров

https://github.com/acmesh-official/acme.sh#11-issue-wildcard-certificates

Я им и делаю. Вопрос именно про nginx. Если у меня в блоке server_name указан один адрес, а редиректит рнр. То как правильно получать сертификаты на домен , учитывая что nginx прокси просто. Инструменты Я знаю. Я не понимаю логики

Там вроде проблема с автопродление, у нас ДНС на винде

сходите по ссылкам что вам дали, nginx не участвует в получении wildcard сертификатов

Какой "один адрес"? Что значит "один адрес"? Кто куда кого редиректит? Ну значит сделать так, чтобы запросы на /.well-known/acme-challenge/ не редиректились, а обрабатывались в отдельном локейшене как статика. Проблемы с автообновлением? Есть ещё и manual dns mode. Недостаточно прямые руки настроить dns? Получайте раз в три месяца в ручном режиме.

Спасибо. Я правильно понимаю, что не смотря на использование nginx в качестве прокси сервера, Я именно на нем должен настраивать ssl, а не на апаче за ним ?

Имеется ввиду директива server_name, которая обслуживает example.com, а маршрутизацию domen1.example.com domen2.example.com делает уже рнр, nginx об этом не знает. Потому я немного запутался как мне быть

Ну а зачем эти запросы гонять через apache? Как-то так делают обычно: location / { proxy_pass ... } location /.well-known/acme-challenge/ { root /path/to/special/folder; try_files $uri =404; }

Имеется ввиду *.example.com? Что вообще прописано в директиве server_name?

а это уже тебе решать, где у тебя будет https терминироваться