Certices curinga só vão um nível de profundidade. Você precisará obter um caractere curinga que também tenha nomes alternativos de assunto para todos os www.<subdomain>.example.com
sites. Isso permitirá que o redirecionamento aconteça.
Qualquer outra solução além de colocar certificados válidos em subdomínios de dois níveis de profundidade não funcionará, porque o handshake SSL sempre ocorrerá antes de qualquer redirecionamento ou reescrita.