Имя сертификата ЦС противоречит проблеме общего имени (CN =)

Кто-нибудь, пожалуйста, подтвердите (или еще лучше скажите, почему я могу достичь следующего, если это вообще возможно) мое понимание / проблема

Я использовать Microsoft CA (присоединение к домену) из того, что я прочитал здесь и в других сообщениях в блогах. Я не могу использовать ограничения имен для ограничения выдачи сертификатов, когда доменное имя, которое я хочу ограничить, появляется только в общем имени (например, CN =) часть общего поля имени субъекта.

например

позволяет сказать, что я хочу ограничить выдачу любого сертификата для MyDomain.com

, если у меня есть запрос на подпись сертификата, который включает имя субъекта

CN = www.MyDomain .com, OU = IT, O = MyOrg, L = Poole, S = Dorset, C = GB

Также нет альтернативных имен субъектов в запросе на подпись сертификата вообще.

хотя в моем сертификате CA в разделе DNS (исключение) есть ограничения на имя, например

DNS = .MyDomain.com DNS = MyDomain.com

ЦС все равно будет выдавать сертификат.

Если я затем добавлю что-то вроде www2.MyDomain.com в SAN запроса на подпись сертификата, CA отклонит запрос, как ожидалось

Итак, из того, что я видел и читал, ограничения имен не применяются к CN = (общее имя) элемент Subject Name?

Поскольку веб-серверы SSL / TLS будут смотреть на CN = на предмет совпадения имени домена (если нет SAN), чтобы принять сертификат, похоже, что для этого нет решения, если только Я чего-то упускаю?

Буду благодарен за любой ввод

спасибо __ AAnotherUser