既に取得済みのSSLに、後からサブドメインを追加したくなった場合。

削除して再取得するしかないのかなと思ったけど、ドメイン名 common name の更新もできるようだ。
github.com

certbot certonly --force-renew --cert-name example.com -d example.com -d '*.example.com'

www.example.com を消してワイルドカードに変更した。
ドメインリストの最初のドメインがcommon name。

コマンドは素っ気ないけれど、最初に所有者チェックの方法の選択肢を聞かれて、その後に追加されるドメインと削除されるドメインの確認が表示される。

certbot certificates

このコマンドで確認ができる。