A menos que você tenha comprado um certificado que tenha o subdomínio como um valor de Assunto ALT, então sim, caso contrário, você precisará de um certificado curinga.
Certificados ssl básicos para domain.com geralmente não suportam sub.domain.com.
A melhor prática é provavelmente mais uma questão de gosto, para facilitar o gerenciamento, é provavelmente mais fácil ter um certificado curinga ou certificado de vários domínios. No entanto, se um dos domínios ou computadores que executam o certificado ficar comprometido e você precisar revogar o certificado, será necessário revogar todo o certificado, não apenas um único domínio. Então, se isso é para muitas máquinas, talvez isso não seja recomendado.
A segurança final dos certificados se resume a ter chaves privadas diferentes e certificados individuais separados, mas, para muitos sites, isso pode se tornar um problema de gerenciamento.