Você deve comprar um certificado que cubra o que seus usuários digitarem em seus navegadores e quaisquer links internos. Pode ser mais barato experimentar certificados autoassinados até que você saiba o que é necessário.
Pode haver um problema se você não tiver o abc.com, pois a CA não emitirá um certificado (como esse é o ponto: imagine que o abc.com é o seu banco e os fraudadores estão tentando comprar certificados para subdomínios do seu banco).
Quando você diz que o certificado não funciona, ele deve avisar os usuários que isso não é xyz.com e criptografar o tráfego se os usuários clicarem de qualquer maneira. Isso significa que o certificado funciona. Se nada acontecer, você não o instalou corretamente.