Посмотрите на https://security.stackexchange.com/questions/172626/chrome-requires-san-names-in-certificate-when-will-other-browsers-ie-follow: некоторые браузеры (Chrome) требуют, чтобы имена были в SAN-части, поскольку теперь они полностью игнорируют поле CN
Так что даже для одного сертификата домена вам нужен доменкак в CN (так как это не является обязательным), так и в части SAN.
Это также относится к требованиям CAB Forum , раздел 7.1.4.2.1:
Поле сертификата: extensions: subjectAltName
Обязательно / необязательно: Обязательно
Содержание: Это расширение ДОЛЖНО содержать хотя бы одну запись.Каждая запись ДОЛЖНА быть либо dNSName, содержащим полное доменное имя, либо iPAddress, содержащим IP-адрес сервера.ЦС ДОЛЖЕН подтвердить, что Заявитель контролирует Полное доменное имя или IP-адрес или ему было предоставлено право на его использование Администратором доменного имени или уполномоченным IP-адресом, в зависимости от ситуации.Полные доменные имена допускаются.
Обратите внимание, что некоторые другие браузеры, такие как Firefox, вместо этого используют откат к CN, см. https://bugzilla.mozilla.org/show_bug.cgi?id=1245280 и см. Начало патча в https://hg.mozilla.org/mozilla-central/rev/dc40f46fae48 дляsecurity.pki.name_matching_mode опция конфигурации.