Обновление SSL Let's Encrypt - Wild Card сертификата после получение его через DNS acme-challenge

Нужно было получить сертификат для *.domain.com

certbot certonly -d *.domain.com --manual --preferred-challenges dns

Ввёл емайл ... - получил.

Всё работает.

Проблема только в том, как его автоматически обновить ?

Так как эмитация обновления с помощью команды:

sudo certbot renew --dry-run

Пишет мне что для *.domain.com нужно опять подверждать что-то по DNS.

Где логика ? Я думал одного подвреждения достаточно - так как при обновлении они автоматически проверяют запись в DNS.

Или им всё время нужна новая запись с новым ключом ? Я что-то не пойму.

Главный вопрос - как это сделать ?