Вопрос по выпуску ssl-сертификатов wildcard.

У кого какие размышления относительно значения в common name? Домен или его wildcard?
В какой момент проявляется разница и на что оказывает влияние?

Ну я теперь только вилдкарды буду брать, если не LE )

Нет вопроса wildcard или не wildcard.
Речь о содержимом CN.

у LE тоже вайлдкарды можно брать. Там только используется валидация через ДНС, а не через файлик в каталоге сайта

Так отож, а у меня ДНС самодельные, какую то обвязку рожать для апи ...

Три года мечтаю, что оно как-нибудь само родится ))
Где-то находил для bind9, но излишне замудреное оказалось.

когда нужен сертификат на домен, в сн идёт домен; когда на виллкард, в сн идёт вилдкард; когда нужен мультидомен, в сн идет один из доменов, все домены идут в alternative name. пример мультидомена вилдкард - в commonName = *.abc.es, в alternative name DNS:*.abc.es, DNS:abc.es

А что будет, если в CN указать домен, а вайлдкард упомянуть в списке альтернативных имен?

если сертификат подписывается как одно-домен, то он будет работать на тот домен, что в сн. если подписывается как мульти-домен, то будет работать для домена в сн и всех что в альтернатив

С cloudflare выходит очень удобно при автоматизации. Можно выпускать даже для вообще не доступных снаружи адресов

Вы мне разъясняете базовые вещи.

Вопрос заключается в проявлении разницы между следующими двумя вариантами.

Вариант1:
CN = domain.tld
alt_names = DNS:*.domain.tld, DNS:domain.tld

Вариант2:
CN = *.domain.tld
alt_names = DNS:*.domain.tld, DNS:domain.tld

разницу не знаю. мы подписывали и так, и так. оба варианта рабочие. т.к. если сертификат куплен как мультидомэйн, то работает на все домены, что в альтернатив. ему пофиг что там в сн. поправлю: не пофиг. сертификат мультидомен работает для всех доменов, указанных в сн + альтернатив.

в каком окружении вы хотите чтобы CN ваших сертификатов проверялись?

потому что например браузер Chrome ещё в версии 58 убрали поддержку CN в сертификатах, в Firefox с 48 версии, т.е примерно 10 лет назад

но например в оркестраторе контейнеров от RedHat OpenShift с версии 4.10 всего пару лет назад

Совет: использовать SANs subject alternative names в сертификатах

Я не знаю ни одного варианта как отказаться от использования поля альтернативных имен, когда помимо основного домена нужен вайлдкард к нему.

вопрос в окружении, где используются сертификаты, нужно проверять имплементации, как конкретная версия ПО работает с CN, SAN