Primeiro eu encontrei uma página dizendo que, wildcards no CN não funcionam com o openldap e você tem que usar subjectAltName ! (Eu não consigo mais encontrar essa página ...)
infelizmente, eu criei o certificado como este, que não é o subjectAltName, que você precisa:
[ req_distinguished_name ]
subjectAltName =Alternativer Name 1
subjectAltName_default =DNS:*.domain.com
é por isso que está exibindo OID.2.5.29.17 ao invés de subjectAltName ...
Eu encontrei a resposta para subjectAltName em: link
After studing of "RFC 2459 - Section 4.2.1.7: Subject Alternative Name" and crossreferencing to the result of isakmpd's certpatch(8) the following should work: [...] To accomplish such an CSR the following entries are needed in the openssl.cnf (please note: I only added the relevant parts for this Attribute)
[ req ] req_extensions = v3_req [ v3_req ] subjectAltName = DNS:www.example.com