Провел поиск по этому поводу, но не смог найти четкого ответа - может ли сертификат SAN содержать имя типа «citrix * .domain.com», чтобы разрешить использование, например, с citrixdirector.domain.com и citrixprod.domain.com?
Текущий RFC, регулирующий проверку подстановочных знаков в DNS SAN, RFC 6125, раздел 6.4.3.
Согласно этим правилам разрешается использование DNS SAN, например citrix * .domain.com. Однако загвоздка в том, что RFC использует MAY язык, что означает, что конкретная реализация клиента, проверяющего сертификат, решает, будет ли он проверять / разрешать такие подстановочные знаки. Таким образом настоящий ответ на ваш вопрос дойдет до клиентов, которые проверяют ваши сертификаты, например браузеры, клиентские библиотеки, и т. д. и т. д..
Надеюсь это поможет!