Én így csináltam:
certbot --server https://acme-v02.api.letsencrypt.org/directory -d "domain.com" -d "*.domain.com" --manual --preferred-challenges dns certonly
Amit kiír felveendő TXT recordból meg kettő darab lesz, mindkettőt fel kell venni a DNS-be és várni a TTL lejáratáig mielőtt enterrel tovább mész.