Отворен билет 
+373 79 600002 
Чат на живо в Telegram 
Често задавани въпроси 
български
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
Polski 
Indonesia 
中文 (中国) 
ЗащитаКакво е SAN сертификат? Пълното ръководство за Multi-Domain SSL
Защитата на множество уебсайтове, поддомейни и услуги с отделни SSL сертификати бързо се превръща в управленски кошмар. SAN (Subject Alternative Name) сертификат — наричан още многодомейнен SSL сертификат — решава този проблем елегантно, като защитава десетки различни доменни имена под един единствен, унифициран сертификат. Независимо дали управлявате SaaS платформа, корпоративна мрежа или електронна търговия, обхващаща множество регионални домейни, разбирането на SAN сертификатите е от съществено значение за поддържането на вашата инфраструктура както защитена, така и управляема.
Какво е SAN сертификат?
SAN сертификатът е вид SSL/TLS сертификат, който използва разширението Subject Alternative Name, за да изброи множество доменни имена в един сертификат. Вместо да закупувате, инсталирате и обновявате отделни сертификати за всеки домейн, който притежавате, SAN сертификатът консолидира всички те в един.
Например един SAN сертификат може едновременно да защити:
www.example.commail.example.comshop.example.orgapp.example.netsecure.example.io
Тази възможност прави SAN сертификатите решението по избор за големи организации, SaaS доставчици и всеки бизнес, който управлява повече от един уеб имот.
Как работят SAN сертификатите?
Всеки SSL/TLS сертификат съдържа структурирани полета с данни, които идентифицират кои домейни е оторизиран да защити. В стандартен сертификат за един домейн се използва само полето Common Name (CN). SAN сертификатът разширява това, като попълва разширението Subject Alternative Names със списък на всеки домейн, който сертификатът трябва да покрива.
Когато браузър или сървър инициира HTTPS връзка, проверява дали исканият домейн съответства на Common Name или на някой от SANs, изброени в сертификата. Ако се намери съответствие, връзката се валидира и се появява иконата на катинара. Ако не, браузърът показва предупреждение за сигурност.
Пример за структура на SAN сертификат
| Поле | Стойност |
|---|---|
| Common Name (CN) | www.example.com |
| SAN запис 1 | blog.example.com |
| SAN запис 2 | shop.example.org |
| SAN запис 3 | secure.example.net |
| SAN запис 4 | app.example.io |
Тази архитектура означава, че добавянето или актуализирането на защитени домейни се обработва на ниво сертификат — просто преиздавате сертификата с актуализиран SAN списък, вместо да осигурявате напълно нов сертификат от нулата.
Ключови предимства на използването на SAN сертификат
1. Значителни спестявания на разходи
Закупуването на отделни SSL сертификати за всеки домейн, който управлявате, е скъпо. Един SAN сертификат покрива множество домейни за част от комбинираната цена, което го прави финансово разумен избор за растящи бизнеси.
2. Опростено управление на сертификатите
Вместо да следите дати на обновяване, статуси на валидация и процедури за инсталация за десетки отделни сертификати, управлявате само един. Това драматично намалява административния режим и риска от изтичане на сертификат без внимание — което може да вземе вашия сайт офлайн и да унищожи доверието на потребителя в един миг.
3. Без компромис в сигурността
SAN сертификатите използват същите надежни стандарти за криптиране (RSA или ECDSA ключове, SHA-256 хеширане) като сертификатите за един домейн. Консолидирането на домейни под един сертификат не отслабва позицията на сигурност на никой отделен домейн.
4. Широка съвместимост на сървърите и клиентите
SAN сертификатите се поддържат от практически всички модерни уеб сървъри (Apache, Nginx, IIS, LiteSpeed), пощенски сървъри и браузъри на клиентите. Те са индустриалният стандартен подход за многодомейни разгръщания.
5. Гъвкавост в TLDs
За разлика от wildcard сертификатите, които са ограничени до поддомейни на един домейн, SAN сертификатите могат да защитят напълно различни доменни имена в различни домейни от най-висок ниво (.com, .net, .org, .io, и т.н.) едновременно.
Видове SAN сертификати
Не всички SAN сертификати са еднакви. Разбирането на наличните видове ви помага да изберете правилното ниво на валидация и покритие за вашия конкретен случай на употреба.
Многодомейнен SSL сертификат (DV или OV)
Най-често срещаният вид. Защитава множество напълно квалифицирани доменни имена в различни TLDs. Достъпен с Domain Validation (DV) за бързо издаване или Organization Validation (OV) за добавени сигнали на доверие.
- Най-добре за: Бизнеси, управляващи няколко различни уебсайта или уеб приложения.
Wildcard SAN сертификат
Комбинира wildcard покритие (*.example.com) с многодомейна поддръжка. Един сертификат може да покрие всички поддомейни на множество базови домейни едновременно.
- Най-добре за: Организации с голям брой поддомейни, разпределени в няколко коренови домейна.
EV (Extended Validation) SAN сертификат
Осигурява най-високото налично ниво на проверка на самоличност. Органът по издаване на сертификати строго проверява организацията преди издаване. Всички изброени домейни се възползват от статуса на разширена валидация.
- Най-добре за: Финансови институции, корпоративни портали и платформи за електронна търговия, където максималното доверие на потребителя е критично.
SAN сертификати срещу Wildcard сертификати: Ключови разлики
Често срещана точка на объркване е кога да изберете SAN сертификат вместо wildcard сертификат. Ето преки сравнение:
| Функция | SAN сертификат | Wildcard сертификат |
|---|---|---|
| Покрива множество коренови домейни | ✅ Да | ❌ Не |
| Покрива неограничени поддомейни | ❌ Не (всеки SAN е изброен) | ✅ Да (един ниво дълбоко) |
| Поддържа различни TLDs | ✅ Да | ❌ Не |
| EV валидация налична | ✅ Да | ❌ Не |
| Най-добре за | Разнообразни портфолиа от домейни | Един домейн, много поддомейни |
В много реални разгръщания администраторите използват Wildcard SAN сертификат, за да получат предимствата на двата подхода.
Как да получите SAN сертификат: Стъпка по стъпка
Стъпка 1: Изберете надежден орган по издаване на сертификати (CA)
Изберете реномиран CA, който предлага SAN сертификати с нивото на валидация, което ви трябва. Потърсете CAs, които са включени в всички основни хранилища на доверие на браузъри. Ако вече хостирате с AlexHost SSL сертификати, можете да управлявате закупуването на сертификати директно през вашата контролна панел за хостинг.
Стъпка 2: Генерирайте заявка за подписване на сертификат (CSR)
На вашия сървър генерирайте CSR, който включва вашия основен домейн като Common Name. Повечето модерни софтуери на сървъри и контролни панели ви позволяват да посочите допълнителни SANs по време на генериране на CSR.
openssl req -new -newkey rsa:2048 -nodes
-keyout yourdomain.key
-out yourdomain.csr
-subj "/CN=www.example.com"За SAN записи обикновено ще ги конфигурирате във вашия openssl.cnf файл или директно през уеб портала на вашия CA по време на процеса на кандидатстване.
Стъпка 3: Посочете всички SAN домейни
По време на кандидатстването за сертификат изброете всеки домейн и поддомейн, който искате сертификатът да покрива. Бъдете задълбочени — добавянето на домейни след издаване изисква преиздаване на сертификата.
Стъпка 4: Завършете валидацията на домейна
За всеки домейн, изброен в SAN полетата, трябва да докажете собственост. Трите стандартни метода на валидация са:
- Валидация по имейл: Отговорете на потвърждаващо писмо, изпратено на регистриран адрес за домейна.
- DNS валидация: Добавете специфичен TXT или CNAME запис към DNS зоната на домейна.
- Валидация на базата на файлове (HTTP): Качете специфичен файл на определена пътека на уеб сървъра.
DNS валидацията е обикновено предпочитана за SAN сертификати, защото може да бъде автоматизирана и не изисква уеб сървърът да бъде публично достъпен по време на валидация.
Стъпка 5: Инсталирайте сертификата на вашия сървър
След като CA издаде сертификата, инсталирайте го на вашия сървър и конфигурирайте всеки изброен домейн да го използва. На Nginx сървър базовата конфигурация изглежда така:
server {
listen 443 ssl;
server_name www.example.com blog.example.com shop.example.org;
ssl_certificate /etc/ssl/certs/san_certificate.crt;
ssl_certificate_key /etc/ssl/private/san_certificate.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}Ако управлявате VPS хостинг среда, имате пълен root достъп, за да конфигурирате SSL точно както вашата инфраструктура изисква, без ограниченията на споделените среди.
Управление и обновяване на вашия SAN сертификат
Правилното управление на жизнения цикъл е критично. Един изтекъл SAN сертификат може едновременно да счупи HTTPS за всеки домейн, който покрива — потенциално катастрофален отказ.
Най-добри практики за управление на SAN сертификати
- Поддържайте инвентар на домейни: Пазете актуален списък на всички домейни, покрити от всеки SAN сертификат, включително техните дати на изтичане.
- Задайте напомняния за обновяване рано: Начнете процеса на обновяване поне 30 дни преди изтичане. Много CAs сега поддържат 90-дневни сертификати (като Let’s Encrypt), така че автоматизацията е силно препоръчана.
- Одитирайте вашия SAN списък при обновяване: Използвайте всяко обновяване като възможност да премахнете деактивирани домейни и да добавите нови.
- Автоматизирайте с ACME клиенти: Инструменти като Certbot поддържат SAN сертификати и могат да автоматизират както издаването, така и обновяването чрез ACME протокола.
- Тестирайте след инсталация: След инсталиране на обновен сертификат, използвайте инструменти като SSL Labs’ SSL Test, за да проверите, че всички изброени домейни са правилно защитени.
Актуализиране на SAN списъка
Ако трябва да добавите или премахнете домейни по време на цикъла, ще трябва да преиздадете сертификата (не само да го обновите). Повечето CAs позволяват безплатно преиздаване в периода на валидност на сертификата. Процесът отразява оригиналното кандидатстване — подавате нов CSR с актуализирания SAN списък и преваликирате всички новодобавени домейни.
Често срещани случаи на употреба за SAN сертификати
SaaS и уеб приложения
SaaS доставчиците често използват SAN сертификати, за да защитят своя основен домейн на приложение, API крайни точки, портали на клиенти и маркетингови сайтове под един сертификат. Това опростява разгръщащите се тръбопроводи и гарантира последователно SSL покритие в целия пакет на продукта.
Корпоративни мрежи
Големи корпорации често управляват смес от вътрешни поддомейни, портали на партньори и публично достъпни уебсайтове. SAN сертификат — или набор от тях — осигурява централизирано управление на SSL в целия портфолио от домейни. Ако вашата организация управлява Dedicated сървъри, имате контролата на инфраструктурата, необходима за разгръщане и управление на сложни SAN конфигурации в мащаб.
Платформи за електронна търговия
Онлайн търговци с регионални витрини (shop.example.co.uk, shop.example.de, shop.example.fr) могат да защитят всяка витрина с един SAN сертификат, гарантирайки последователно и надежно пазарно място за клиентите по целия свят.
Пощенска инфраструктура
SAN сертификатите се използват широко за защита на пощенски сървъри, покриващи SMTP, IMAP и POP3 имена на хостове под един сертификат. Ако разчитате на Email хостинг за бизнес комуникации, гарантирането, че SSL сертификатът на вашия пощенски сървър е правилно конфигуриран, е от съществено значение както за сигурност, така и за доставяемост.
Среди за разработка и подготовка
Екипи, управляващи множество среди (производство, подготовка, разработка) в различни поддомейни, могат да използват SAN сертификат, за да поддържат HTTPS в целите среди без режима на отделни сертификати на среда.
SAN сертификати и вашата хостинг среда
Видът на хостинг средата, която използвате, директно влияе на това как разгръщате и управлявате SAN сертификати.
Споделен хостинг: На Споделени уеб хостинг планове управлението на SSL обикновено се обработва чрез контролната панел на хостинга. Проверете дали вашия доставчик поддържа персонализирани SAN сертификати или само предлага опции за един дом