🅭

pour les serveurs web, propose des certificats génériques sans garantie de confidentialité ni d'autenticité,
ces certificats ont une durée de péremption de 3 mois.
en shell la commande "certbot" permet de les récupérer instantanément. 

le plus simple :

# après avoir arrêter le serveur web per exemple # service nginx stop
certbot renew
# our plus détaillé
certbot -n --agree-tos --email  toto@toto.com -n -d www.memoperso.fr --standalone certonly

# ne pas utiliser les fichiers dans /etc/letsencrypt/archive/www.memoperso.fr car ils sont numérotés
# mais plutot les liens symboliques vers les derniers :
ssl_certificate /etc/letsencrypt/live/www.memoperso.fr/cert.pem;
ssl_certificate_key /etc/letsencrypt/live/www.memoperso.fr/privkey.pem;
ne pas oublier de relancer le serveur web
 ( ex : service nginx restart )

# si on ne veut pas arrêter le serveur:
certbot -d www.memoperso.fr certonly --manual    # sur n'importe quel machine accedant à internet

# après avoir accepté que l'adresse IP du poste demandeur soit notée
# on doit mettre une chaine bizarre dans un fichier au nom du même genre du sous-repertoire .well-known/acme-challenge de l'arborescence du serveur web

# certificat pour tous les sous domaines

certbot -d *.memoperso.fr certonly --manual

Please deploy a DNS TXT record under the name
_acme-challenge.memoperso.fr with the following value:

70S5mE1_5x7ynLxhwGh5A1fmG30k4tVpegU9uxXEFog

la manipulation chez gandi.net ou OVH.com est simplement dans la configuration du DNS du domaine.
ils disent d'attendre 24 heure mais c'est bon de suite

Before continuing, verify the record is deployed.

# commande à lancer seulement après sinon les caches radotent
nslookup -q=txt _acme-challenge.memoperso.fr

   Your certificate and chain have been saved at:
   /etc/letsencrypt/live/memoperso.fr-0001/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/memoperso.fr-0001/privkey.pem

service nginx restart