Let’s Encrypt でワイルドカードあり／なしを共存させる

Let's Encrypt でワイルドカードあり／なしを共存させようとして小ハマリしたのでメモ。
Let's Encrypt は、無料で、手軽にSSLを実装できるので重宝している。
いつか有償化されるのではないかと恐れおののきながら使っているが、無料で使える間は便利に使わせて頂きます。

Let's Encrypt では、サブドメインにワイルド―カードを指定して SSL を聞かせる事ができる。
たとえば、このブログのドメインは「blog2.zunbe.com」であるが、「*.zunbe.com」という証明書を取得して使用している。

ここで、サブドメインのない「zunbe.com」に対して証明書を取得するには、どうしたらいいのだろうか。
順当な方法としては、certbot を2回実行して、証明書を取得する。

$ certbot certonly \
  --manual \
  --preferred-challenges dns-01 \
  --server https://acme-v02.api.letsencrypt.org/directory \
  -d "zunbe.com"

$ certbot certonly \
  --manual \
  --preferred-challenges dns-01 \
  --server https://acme-v02.api.letsencrypt.org/directory \
  -d "*.zunbe.com"

こうすると、それぞれのコマンドで、DNSレコードの「_acme-challenge.zunbe.com」に設定するテキストが取得できる。
すなわち、DNSに設定するべきテキストは2個出てくる。
しかし、この2個のテキストを、どうやって「_acme-challenge.zunbe.com」に設定するのだ？

別の取得方法としては、certbot のオプション「-d」を重ねて指定する方法がある。

$ certbot certonly \
  --manual \
  --preferred-challenges dns-01 \
  --server https://acme-v02.api.letsencrypt.org/directory \
  -d "zunbe.com" \
  -d "*.zunbe.com"

これなら「_acme-challenge.zunbe.com」に設定するテキスト1個だけ取得できるのかと思ったのだけれど、この場合でも2個出てくる。
どうやって「_acme-challenge.zunbe.com」に設定するのだ？

頓挫してしまった。(T_T)

う～ん、と悩む...
う～ん、と悩む...
う～ん、と悩む...
閃いた！
もしかして「_acme-challenge.zunbe.com」という同じホスト名で2レコード登録できるのか？

と、いう事で、やってみた。
できるやん！

ホスト名はプライマリ・キーみたいなもので、ユニークにしか設定できないものだと思い込んでいた。
盲点だった（いや、ずんべ の知識が足りんだけなんだけど)。

nslookup で確認してみる。
2レコード設定されている。OKだ。

$ nslookup -type=TXT _acme-challenge.zunbe.com 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
_acme-challenge.zunbe.com       text = "1nCuhGmf1*********************3gpreFMIoC23k"
_acme-challenge.zunbe.com       text = "oN2q26lEF*********************gOpze4H6lHLM"

Authoritative answers can be found from:

ブラウザで証明書を表示させてみる。
「zunbe.com」「*.zunbe.com」とも、SSLが効いている。OKだ。

とりあえず、これでヨシ！