У меня та же ситуация с wildcard-сертификатами. Проанализировав комментарии в этой ветке, предлагаю реализовать поддержку wildcard-сертификатов в PVE, сделать лимит количества сертификатов настраиваемым для пользователя с разумным значением по умолчанию и использовать файлообмен для предоставления wildcard-сертификатов другим хостам/VM. SAN-сертификаты могут содержать до 100 доменных имен. Для wildcard-домена нужно 2 доменных имени: "example.org" и "*.example.org". Значит, в одном SAN-сертификате можно разместить до 50 wildcard-доменов.

Для ясности… это 5 SAN на узел или 5 отдельных доменов? Это легко может быть исчерпано (лицом узла для хранения) (публичным лицом узла) (внутренним лицом узла) (публичным лицом кластера) (лицом кластера для хранения). Любое дополнительное "благословение" (например, лицо, охватывающее резервное копирование) превысит лимит в 5 SAN. Но… честно говоря, это что-то вроде продвинутого варианта использования.

В ситуации, когда нужно предоставить нескольким клиентам доступ к Proxmox через собственные (или под-)домены – да. Если же хочется, чтобы PVE выдавал сертификаты, например, виртуальным машинам – нет.

Похоже, этот wildcard SSL для ACME всё ещё недоступен. Главная причина — скрыть мою внутреннюю инфраструктуру от интернета. Да, мои хосты и так не видны в сети, но каждый раз, когда генерируется новый сертификат Let's Encrypt, он публикуется на всеобщее обозрение. Так я получаю уведомления от Cloudflare о новых SSL-сертификатах, выданных на мой домен. Так что у меня два варианта: использовать внутренний обратный прокси, который уже использует wildcard SSL-сертификат, или придумать какое-то странное имя хоста в сертификате, чтобы замаскировать, что это такое. Блин, если бы я знал, что информация о сертификатах — это общедоступные сведения, я бы более внимательно подошёл к соглашениям об именовании.