Eu pareço lembrar que * .domain.com na verdade viola a RFC de qualquer maneira (eu acho que apenas o lince reclama:)
Crie um certificado com domain.com como CN e * .domain.com no campo subjectAltName:dNSName
names - que funciona.
Para o openssl, adicione isso às extensões:
subjectAltName = DNS:*.domain.com