DNS сервер у вас, на соседнем сервере? Тогда настраиваете на нём certbot на валидацию по DNS TXT записи, sh-скриптом подсовываете (есть в certbot такая возможность) запись в конфиги нужного домена - вуала, профит!
DNS не под контролем? Тогда на всех WEB-серверах проксируете все файловые /.well-known/acme-challenge/* запросы на сервер с certbot, настраиваете список директорий под каждый сервер, из certbot sh-скриптом (возможность ни куда не делась) ложите в нужную директорию файл с проверочным кодом - вуаля, профит!
Потом останется только sh-скриптом скопировать свежие сертификаты на соответствующие сервера - и вуаля, уже второй профит! Куда большей сложностью является правильная работа с пользователями на удалённых серверах, без хранения паролей на certbot-овом сервере...
