Es gibt noch einen einfacheren Weg, der einem dank der ucr Variablen „ssl/host/extensions“ und einem Beispielscript /usr/share/doc/univention-ssl/extensions-example.sh zur Verfügung gestellt wird.
Dort ist neben dem vollen Namen mit $fqdn auch schon der kurze Name mit $hostname vordefiniert. So habe ich es bei uns aktiviert:
# Die Extension kopieren:
cp /usr/share/doc/univention-ssl/extensions-example.sh \
/etc/univention/ssl/alt-name_extension.sh
# ausführbar machen:
chmod +x /etc/univention/ssl/alt-name_extension.sh
# den hook aktivieren
ucr set ssl/host/extensions="/etc/univention/ssl/alt-name_extension.sh"
# überprüfen:
ucr get ssl/host/extensions
# Zertifikat ausstellen:
univention-certificate new -name horst.domain.tld
# Zertifikat über den kurzen Namen überprüfen
openssl x509 -in /etc/univention/ssl/horst/cert.pem -noout -text | grep -A1 'X509v3 Subject Alternative Name'
Dadurch kann man weiterhin univention-certificate benutzen und bei hostspezifischen Anpassungen wird kurzerhand die alt-name_extension.sh erweitert, das Zertifikat erstellt und dann die Änderung zurückgenommen.
Eigentlich sollte so ein Script nicht unter/etc liegen, aber in dem Fall hilft es sich an den Hook zu erinnern 