A maioria das CAs emitirá um MultiDomain SSL ou um único certificado Wildcard.
Então, você precisaria de (2) Certs para cobrir esses três domínios.
1) example.com, www.example.com
2) app.example.com, *.app.example.com
staging.app.example.com é coberto por *.app.example.com
, mas user.staging.app.example.com não é.
Eu sugeri usar -
hífens em alguns casos, como user-staging.app.example.com
Eu digo mais, como você pode solicitar isso da Digicert e de alguns outros.
Cert 1 geração com OpenSSL
openssl req -new -newkey rsa:2048 -nodes -sha256 -keyout example.com.key -subj "/C=US/ST=Virginia/O=Company Name/OU=Web Security/CN=example.com" -config <(
cat <<-EOF
[req]
default_bits = 2048
default_md = sha256
req_extensions = req_ext
distinguished_name = dn
[ dn ]
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = example.com
DNS.2 = www.example.com
EOF
)
Cert 2 Geração com OpenSSL
openssl req -new -newkey rsa:2048 -nodes -sha256 -keyout example.com.key -subj "/C=US/ST=Virginia/O=Company Name/OU=Web Security/CN=example.com" -config <(
cat <<-EOF
[req]
default_bits = 2048
default_md = sha256
req_extensions = req_ext
distinguished_name = dn
[ dn ]
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = app.example.com
DNS.2 = *.app.example.com
EOF
)