Может быть есть в природе сертификаты, пусть гораздо более дорогие, но которые действуют хотя бы на два уровня вглубь?
То есть покупаем один сертификат для *.school.ru и защищаем сразу все поддомены всех уровней :-)
Есть сертификаты
гораздо менее дорогие, которые действуют на конкретный домен (или поддомены), легко и автоматически выпускаются/обновляются и при грамотной настройке вообще не требуют практически никакого внимания живого человека. А все эти потуги выпустить Сертификат Всевластия - имхо, довольно печальны с т. з. безопасности (много мест потенциальной компрометации ключа), оптимизации расходов (платим фактически за воздух, при наличии-то альтернативы, технически не уступающей) и в 2018 году выглядят не очень.