Eu tive esse trabalho usando um certificado curinga com uma SAN diferente de caractere curinga, porque o nome interno dos meus servidores era diferente do DNS externo.
Assim, no caso mencionado acima, o certificado seria * .example.org possivelmente com uma SAN de * .example.local para ser verdadeiro também para o nome interno do servidor se for diferente de seu DNS externo nome.
Se você for a rota curinga, simplesmente saiba que ela é considerada menos segura do que listar os FQDNs exatos. Em situações em que você tem padrões de conformidade para aderir, pode não ser considerado o caminho mais seguro.