Infelizmente, não há como fazer o que você quer, fora da obtenção de um novo certificado que contenha ex. extensões de SAN (Subject Alternative Name) para os outros nomes DNS / Endereços IP pelos quais seu cliente TLS entraria em contato com esse servidor.
O motivo é que esse "aliasing" precisa ser confiável pelo processo de verificação do X509, e a única coisa que facilita a vinculação confiável de informações - incluindo aliases como "this subject / cert é também associado ao nome DNS site.example.com
e ao endereço IP 1.2.3.4 "- é ter esses aliases / associações contidos no próprio certificado . O processo de verificação confia no certificado de assinatura e, portanto, a assinatura do certificado de emissão precisa abranger tudo sobre esse assunto, incluindo aliases. Tudo o que o certificado emitente afirma ser válido está contido no próprio certificado.
Outra maneira de pensar sobre isso é "se não for assinado pelo certificado de emissão, não será confiável".