Você pode simplesmente adicionar os nomes alternativos ao certificado ao assinar. Por exemplo, se você usar o OpenSSL e usar a seção server_ca ao assinar (por exemplo, openssl ca -config my.conf -name server_ca -in server.req -out server.crt ), verifique se tem uma seção semelhante à seguinte no arquivo de configuração que você usa ao assinar:
[server_ca]
...
x509_extensions = server_cert
[server_cert]
...
subjectAltName = @server_alt_names
[server_alt_names]
DNS.1 = subdomain.domain.com
DNS.2 = subdomain
Para verificar seu certificado, canalize-o para openssl x509 -noout -text . Você deve ver uma linha como esta na saída:
X509v3 Subject Alternative Name:
DNS:subdomain.domain.com, DNS:subdomain
Eu vi o comentário sobre o SNI, mas se você acabou de assinar o certificado, o SNI não terá importância alguma (contanto que os dois nomes apontem para o mesmo conteúdo). Esse método funciona com certeza para o Firefox e o IE, não para o Chrome e o wget. Na verdade, o CN no certificado não importa mesmo se você tiver os nomes listados como nomes alternativos.