Analog hier beschriebenem Vorgehen, jedoch folgenden Befehl mit Wildcard (*) ausführen:
sudo ./certbot-auto certonly --manual --agree-tos --manual-public-ip-logging-ok --rsa-key-size 4096 -d domain.tld -d *.domain.tld
Neben ACME- auch DNS-Challenge erforderlich:
Subdomain “_acme-challenge” mit vorgegebenem TXT-record im Nameserver anlegen und deployen.