Я создал Lets Encrypt подстановочный сертификат для моего домена *.domain.com.
Я думал, что этот сертификат действителен для любого вложенного поддомена *.*.domain.com, лайк it.*.domain.com или fr.*.domain.com. Но браузеры выдают ошибку, этот подстановочный сертификат был выпущен для domain.com, а не для *.domain.com. Я пытался выдать новый сертификат для *.*.domain.com с CertBot, и это дает мне ошибку (несколько подстановочных знаков не разрешены).
Можно ли этого добиться или мне нужно вручную выдавать подстановочные сертификаты для каждого поддомена 1-го уровня?
Ошибка CertBot, которую вы видите, является точной - сертификаты SSL действительны только для одного уровня домена, например *.domain.com или *.fr.domain.com или *.example.domain.com. Дополнительная информация, в частности цитата RFC, находится в этот ответ SF.
Если вам нужны поддомены поддоменов, вам нужно будет создать подстановочные знаки для каждого отдельного поддомена.