> Правильно ли я понимаю, что wildcard подойдет для этого?
Да
> То есть его требуется единожды получить и установить
Да, но не единожды. Сертификат имеет срок действия от 3 месяцев до 2 лет. До истечения срока надо его продлить (получить новый).
Рекомендую бесплатный Let's Encrypt и настроить его автоматическое обновление.
https://habrahabr.ru/post/270273/