Há várias opções aqui e a importante é se a infraestrutura do servidor e do cliente é compatível com SNI.
Se você tem suporte a SNI, minha sugestão seria gerar um certificado confiável e individual para cada site / domínio / subdomínio de que você precisa. Não se preocupe, com o advento de Vamos Criptografar a partir do EFF , obtendo tantos certificados confiáveis quanto você precisa é trivial.
Se você não tem suporte a SNI (devido a clientes antigos ou a uma versão do IIS que não oferece suporte a isso), um certificado SAN pode ser o caminho a ser seguido. Mais uma vez, você pode obtê-los de Let's Encrypt. Basta gerar um único certificado com todas as SANs necessárias. Mas toda vez que você alterar a lista de domínios para os quais você precisa de cobertura, você terá que gerar novamente seu certificado (e, dependendo de como você o implantou, poderá ser necessário implantá-lo novamente em cada host aplicável). No entanto, você indicou que isso não é ideal para você, já que deseja manter a separação entre muitos desses domínios.
Além do SNI com certificados individuais e um certificado SAN, a terceira maneira comum é colocar algo como o Cloudflare na frente de todos os seus sites e deixe eles fazer os certificados SSL para você . O bom disso é que você também reduz a latência de terminação SSL, já que os clientes fazem sua negociação SSL com o Cloudflare, presumivelmente com um POP mais próximo do que você teria por conta própria.