CSR создан для незапрошенных доменов

Попытка создать CSR только для domain.com. Ключ первый:

# openssl genrsa -out  domain.com.key 2048
Generating RSA private key, 2048 bit long modulus
........................................................................+++
................+++
e is 65537 (0x10001)

Тогда CSR:

# openssl req -new -sha256 -key domain.com.key -out domain.com.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:Connecticut
Locality Name (eg, city) [Default City]:Stamford
Organization Name (eg, company) [Default Company Ltd]:Domain.com Corporation
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:domain.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Теперь протестируйте csr и увидите много дополнительных доменов:

#  openssl req -noout -text -in domain.com.csr | grep DNS
                DNS:www.domain.com, DNS:www.domain.ae,
DNS:www.domain.at, DNS:www.domain.fr, 
DNS:www.domain.ca, DNS:www.dom.com

Вопрос в том, откуда взялись все эти "лишние" домены и как их удалить?

Обновление: я обнаружил, что набор "дополнительных" доменов зависит от сервера, на котором были сгенерированы ключ и CSR. Звучит безумно, я знаю.