@dunachio
Pues lo normal es utilizar un cliente como certbot, desde línea de comandos
Al solicitarlos desde línea de comandos la primera vez, dependiendo del método que uses, se suele configurar para la autorenovación cada 2 meses (con cierta aleatorización). Y después, te olvidas.
Con el plugin de certbot para apache o nginx incluso te añade las configuraciones de seguridad necesarias a nginx o apache (en otros no he probado)
A tener en cuenta es la carpeta donde se va a subir el archivo temporal de validación (es más cómodo que todos los dominios vayan a la misma carpeta, en lugar de subcarpetas de cada dominio)

En Debian es muy fácil, y en Ubuntu. En otros no he probado porque ya no manejo otros

Si los certificados son Wildcard, entonces lo normal es que tengas que crear ciertos registros DNS. Pero si tu proveedor de dominio DNS tiene una API que puedas activar para interactuar con los DNS de tus dominios, también puedes instalar un plugin para certbot que conecta con tus DNS , hace el cambio necesario para verificar que tienes derecho a esos certificados, y después lo deshace.