No se trata de comodines. El comportamiento que observa se debe a lo siguiente: si hay una extensión de Nombre alternativo del sujeto en el certificado, la parte del nombre común del DN simplemente se ignora. De lo contrario, los nombres de servidor en el certificado siempre deben estar en una extensión de Nombre alternativo del sujeto; la parte del Nombre común del DN del sujeto se usa como reserva solo si la extensión del Nombre alternativo del sujeto falta por completo (precisamente, si no hay SAN, o si hay una SAN que no contiene dNSName elemento en absoluto). Consulte RFC 2818, sección 3.1 :
If a subjectAltName extension of type dNSName is present, that MUST
be used as the identity. Otherwise, the (most specific) Common Name
field in the Subject field of the certificate MUST be used. Although
the use of the Common Name is existing practice, it is deprecated and
Certification Authorities are encouraged to use the dNSName instead.
Por lo tanto, en su caso, debe poner los elementos ambos mydomain.com y *.mydomain.com como dNSName en la extensión SAN (la extensión SAN puede contener muchos nombres DNS). Si los nombres son comodines o no, no importa en este nivel. A modo de ilustración, eche un vistazo al certificado utilizado por Google (conéctese con https://www.google.com y luego solicite a su navegador que muestre los "detalles del certificado"): este certificado cuenta actualmente con una extensión SAN con no menos de 44 nombres DNS, 34 de los cuales que son nombres de comodín.