Isso não está correto.
Um certificado curinga não tem nada a ver com a capacidade de gerar certificados; é um único certificado que autenticará todos os subdomínios do CN ao qual o certificado se refere.
Portanto, se você comprou um certificado curinga para * .example.com, isso significa que o servidor da Web que executa orders.example.com pode usar esse certificado.
Os CSRs não entram nele, pois são usados para solicitar um certificado específico do nome do host, que você não deseja usar.
Substitua o certificado orders
pelo certificado com curinga.