O RFC afirma que os curingas são bons apenas para o próximo nível abaixo. Então, nos exemplos acima, você precisaria obter um curinga para cada extensão:
*.extension.clients.example.com
Pessoalmente, descarto a parte de extensão do seu esquema e tenho um caractere curinga para
*.clients.example.com
Agora, alguns navegadores suportam vários níveis para certificados de curingas, mas isso não é universal nem contra o RFC.