以下では exsample.com と *.exsample.com で証明書を発行します。

発行

certbot certonly --manual \
  -d *.exsample.com \
  -d exsample.com \
  --preferred-challenges dns-01 \
  --agree-tos \
  --manual-public-ip-logging-ok 

DNSの _acme-challenge.exsample.com のTXTレコードに値を登録しろと言われるので、その値を設定します。

更新

certbot renewには対応していない、同じコマンドを実行しろと言われます。
cronで定期的に実行する時に期限が30日以上だと強制的に更新するか今のを保持するかを聞かれてしまうので、 --keep-until-expiring を付けて、更新しないようにします。