0. Всё проделывается в консоли какого-нибудь локального Linux или WSL для Windows 10.
1. Скачайте getssl (https://github.com/srvrco/getssl).

sudo mkdir /opt/getssl
sudo chown $USER:$USER /opt/getssl
curl https://raw.githubusercontent.com/srvrco/getssl/master/getssl --output /opt/getssl/getssl
chmod 700 /opt/getssl/getssl

2. Создайте конфиг для своего сайта/домена sample.ru.
/opt/getssl/getssl -c sample.ru -w /opt/getssl
3. Измените конфиг \opt\getssl\sample.ru\getssl.cfg для работы с ftp/ssh на masterhost.

CA="https://acme-v01.api.letsencrypt.org"
SANS="www.sample.ru"
ACL=('ftp:u123456:p123456:u123456.ftp.masterhost.ru:/sample.ru/www/.well-known/acme-challenge')
USE_SINGLE_ACL="true"

4. Создайте на ftp masterhost папку для токена /sample.ru/www/.well-known/acme-challenge
5. Запустите скрипт получения сертификата
/opt/getssl/getssl sample.ru -w /opt/getssl
6. В админке masterhost-а:
- "Характеристики домена" > "поддержка SSL" > "добавить"/"изменить"
- "Загрузить свой сертификат"
- поле "Сертификат" - файл /opt/getssl/sample.ru/sample.ru.crt
- поле "Ключ" - файл /opt/getssl/sample.ru/sample.ru.key
- "Добавить"/"Сохранить"
7. Проверьте https://sample.ru

P.S. Вероятно, что для работы с ftp придётся использовать пассивный режим - https://github.com/srvrco/getssl/pull/275