Non si tratta di caratteri jolly. Il comportamento che si osserva è dovuto a quanto segue: se nel certificato è presente un'estensione Alt nome soggetto, la parte Nome comune del DN viene semplicemente ignorata. Detto altrimenti, i nomi dei server nel certificato dovrebbero sempre essere in un'estensione Nome alt soggetto; la parte Common Name del DN soggetto viene utilizzata come fallback solo se l'estensione del nome alt Subject è completamente mancante (precisamente, se non c'è SAN, o se c'è una SAN che non contiene dNSName element affatto). Vedi RFC 2818, sezione 3.1 :
If a subjectAltName extension of type dNSName is present, that MUST
be used as the identity. Otherwise, the (most specific) Common Name
field in the Subject field of the certificate MUST be used. Although
the use of the Common Name is existing practice, it is deprecated and
Certification Authorities are encouraged to use the dNSName instead.
Pertanto, nel tuo caso, dovresti inserire entrambi mydomain.com e *.mydomain.com come dNSName elementi nell'estensione SAN (l'estensione SAN può contenere molti nomi DNS). Non importa se i nomi sono jolly o non a questo livello. A titolo di esempio, dai un'occhiata al certificato utilizzato da Google (collegalo su https://www.google.com , poi chiedi al tuo browser di visualizzare i "dettagli del certificato"): questo certificato attualmente presenta un'estensione SAN con non meno di 44 nomi DNS, 34 di che sono nomi jolly.