Ticket öffnen 
+373 79 600002 
Telegramm Live Chat 
Häufige Fragen 
Deutsch
English 
Русский 
Română 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
SicherheitWas ist ein SAN-Zertifikat? Der vollständige Leitfaden zu Multi-Domain SSL
Die Sicherung mehrerer Websites, Subdomains und Services mit einzelnen SSL-Zertifikaten wird schnell zu einem Verwaltungsproblem. Ein SAN-Zertifikat (Subject Alternative Name) — auch Multi-Domain-SSL-Zertifikat genannt — löst dieses Problem elegant, indem es Dutzende verschiedener Domainnamen unter einem einzigen, einheitlichen Zertifikat schützt. Egal ob Sie eine SaaS-Plattform, ein Unternehmensnetzwerk oder einen E-Commerce-Betrieb mit mehreren regionalen Domains betreiben, das Verständnis von SAN-Zertifikaten ist essentiell, um Ihre Infrastruktur sowohl sicher als auch verwaltbar zu halten.
Was ist ein SAN-Zertifikat?
Ein SAN-Zertifikat ist eine Art SSL/TLS-Zertifikat, das die Subject Alternative Name-Erweiterung nutzt, um mehrere Domainnamen innerhalb eines einzigen Zertifikats aufzulisten. Anstatt separate Zertifikate für jede Domain zu kaufen, zu installieren und zu erneuern, konsolidiert ein SAN-Zertifikat alle in einem.
Ein einzelnes SAN-Zertifikat kann beispielsweise gleichzeitig schützen:
www.example.commail.example.comshop.example.orgapp.example.netsecure.example.io
Diese Fähigkeit macht SAN-Zertifikate zur bevorzugten Lösung für große Organisationen, SaaS-Anbieter und alle Unternehmen, die mehr als eine Web-Eigenschaft verwalten.
Wie funktionieren SAN-Zertifikate?
Jedes SSL/TLS-Zertifikat enthält strukturierte Datenfelder, die identifizieren, welche Domain(s) es schützen darf. In einem Standard-Einzeldomänen-Zertifikat wird nur das Common Name (CN)-Feld verwendet. Ein SAN-Zertifikat erweitert dies, indem die Subject Alternative Names-Erweiterung mit einer Liste aller Domains gefüllt wird, die das Zertifikat abdecken soll.
Wenn ein Browser oder Server eine HTTPS-Verbindung initiiert, prüft er, ob die angeforderte Domain entweder dem Common Name oder einem der im Zertifikat aufgelisteten SANs entspricht. Wenn eine Übereinstimmung gefunden wird, wird die Verbindung validiert und das Schlosssymbol erscheint. Wenn nicht, zeigt der Browser eine Sicherheitswarnung an.
Beispiel SAN-Zertifikatstruktur
| Feld | Wert |
|---|---|
| Common Name (CN) | www.example.com |
| SAN-Eintrag 1 | blog.example.com |
| SAN-Eintrag 2 | shop.example.org |
| SAN-Eintrag 3 | secure.example.net |
| SAN-Eintrag 4 | app.example.io |
Diese Architektur bedeutet, dass das Hinzufügen oder Aktualisieren abgedeckter Domains auf Zertifikatebene erfolgt — Sie geben das Zertifikat einfach mit einer aktualisierten SAN-Liste erneut aus, anstatt ein völlig neues Zertifikat von Grund auf bereitzustellen.
Wichtige Vorteile der Verwendung eines SAN-Zertifikats
1. Erhebliche Kosteneinsparungen
Der Kauf einzelner SSL-Zertifikate für jede verwaltete Domain ist teuer. Ein einzelnes SAN-Zertifikat deckt mehrere Domains für einen Bruchteil der kombinierten Kosten ab, was es für wachsende Unternehmen zu einer finanziell intelligenten Wahl macht.
2. Vereinfachte Zertifikatverwaltung
Anstatt Erneuerungstermine, Validierungsstatus und Installationsverfahren für Dutzende separater Zertifikate zu verfolgen, verwalten Sie nur eines. Dies reduziert den administrativen Aufwand erheblich und das Risiko, dass ein Zertifikat unbemerkt abläuft — was Ihre Website offline nehmen und das Vertrauen der Benutzer zerstören kann.
3. Keine Kompromisse bei der Sicherheit
SAN-Zertifikate verwenden die gleichen robusten Verschlüsselungsstandards (RSA- oder ECDSA-Schlüssel, SHA-256-Hashing) wie Einzeldomänen-Zertifikate. Das Konsolidieren von Domains unter einem Zertifikat schwächt die Sicherheitslage keiner einzelnen Domain.
4. Breite Server- und Client-Kompatibilität
SAN-Zertifikate werden von praktisch allen modernen Webservern (Apache, Nginx, IIS, LiteSpeed), Mailservern und Client-Browsern unterstützt. Sie sind der Industriestandard für Multi-Domain-Bereitstellungen.
5. Flexibilität über TLDs hinweg
Im Gegensatz zu Wildcard-Zertifikaten, die auf Subdomains einer einzelnen Domain beschränkt sind, können SAN-Zertifikate völlig unterschiedliche Domainnamen über verschiedene Top-Level-Domains (.com, .net, .org, .io, usw.) gleichzeitig schützen.
Arten von SAN-Zertifikaten
Nicht alle SAN-Zertifikate sind gleich. Das Verständnis der verfügbaren Typen hilft Ihnen, das richtige Validierungs- und Abdeckungsniveau für Ihren spezifischen Anwendungsfall zu wählen.
Multi-Domain-SSL-Zertifikat (DV oder OV)
Der häufigste Typ. Schützt mehrere vollständig qualifizierte Domainnamen über verschiedene TLDs. Verfügbar mit Domain Validation (DV) für schnelle Ausstellung oder Organization Validation (OV) für zusätzliche Vertrauenssignale.
- Beste für: Unternehmen, die mehrere unterschiedliche Websites oder Webanwendungen verwalten.
Wildcard-SAN-Zertifikat
Kombiniert Wildcard-Abdeckung (*.example.com) mit Multi-Domain-Unterstützung. Ein einzelnes Zertifikat kann alle Subdomains mehrerer Basis-Domains gleichzeitig abdecken.
- Beste für: Organisationen mit großen Mengen an Subdomains, die über mehrere Root-Domains verteilt sind.
EV (Extended Validation) SAN-Zertifikat
Bietet die höchste verfügbare Stufe der Identitätsprüfung. Die Zertifizierungsstelle überprüft die Organisation vor der Ausstellung gründlich. Alle aufgelisteten Domains profitieren vom Extended-Validation-Status.
- Beste für: Finanzinstitute, Unternehmensportale und E-Commerce-Plattformen, bei denen maximales Benutzervertrauen kritisch ist.
SAN-Zertifikate vs. Wildcard-Zertifikate: Wichtige Unterschiede
Ein häufiger Verwirrungspunkt ist, wann man ein SAN-Zertifikat über einem Wildcard-Zertifikat wählen sollte. Hier ist ein direkter Vergleich:
| Funktion | SAN-Zertifikat | Wildcard-Zertifikat |
|---|---|---|
| Deckt mehrere Root-Domains ab | ✅ Ja | ❌ Nein |
| Deckt unbegrenzte Subdomains ab | ❌ Nein (jeder SAN aufgelistet) | ✅ Ja (eine Ebene tief) |
| Unterstützt verschiedene TLDs | ✅ Ja | ❌ Nein |
| EV-Validierung verfügbar | ✅ Ja | ❌ Nein |
| Beste für | Vielfältige Domain-Portfolios | Einzelne Domain, viele Subdomains |
In vielen realen Bereitstellungen verwenden Administratoren ein Wildcard-SAN-Zertifikat, um die Vorteile beider Ansätze zu nutzen.
So erhalten Sie ein SAN-Zertifikat: Schritt für Schritt
Schritt 1: Wählen Sie eine vertrauenswürdige Zertifizierungsstelle (CA)
Wählen Sie eine seriöse CA, die SAN-Zertifikate mit dem benötigten Validierungsniveau anbietet. Suchen Sie nach CAs, die in allen großen Browser-Vertrauensspeichern enthalten sind. Wenn Sie bereits bei AlexHost SSL-Zertifikaten gehostet werden, können Sie die Zertifikatsbeschaffung direkt über Ihr Hosting-Dashboard verwalten.
Schritt 2: Generieren Sie eine Certificate Signing Request (CSR)
Generieren Sie auf Ihrem Server eine CSR, die Ihre primäre Domain als Common Name enthält. Die meisten modernen Serversoftware und Kontrollpanels ermöglichen es Ihnen, während der CSR-Generierung zusätzliche SANs anzugeben.
openssl req -new -newkey rsa:2048 -nodes
-keyout yourdomain.key
-out yourdomain.csr
-subj "/CN=www.example.com"Für SAN-Einträge konfigurieren Sie diese normalerweise in Ihrer openssl.cnf-Datei oder direkt über das Webportal Ihrer CA während des Antragsverfahrens.
Schritt 3: Geben Sie alle SAN-Domains an
Während der Zertifikatsanwendung listen Sie jede Domain und Subdomain auf, die das Zertifikat abdecken soll. Seien Sie gründlich — das Hinzufügen von Domains nach der Ausstellung erfordert eine Zertifikatsneuausstellung.
Schritt 4: Schließen Sie die Domain-Validierung ab
Für jede Domain, die in den SAN-Feldern aufgelistet ist, müssen Sie den Besitz nachweisen. Die drei Standard-Validierungsmethoden sind:
- E-Mail-Validierung: Antworten Sie auf eine Bestätigungs-E-Mail, die an eine registrierte Adresse für die Domain gesendet wird.
- DNS-Validierung: Fügen Sie einen bestimmten TXT- oder CNAME-Datensatz zur DNS-Zone der Domain hinzu.
- Dateibasierte (HTTP) Validierung: Laden Sie eine bestimmte Datei in einen designierten Pfad auf dem Webserver hoch.
DNS-Validierung wird im Allgemeinen für SAN-Zertifikate bevorzugt, da sie automatisiert werden kann und nicht erfordert, dass der Webserver während der Validierung öffentlich zugänglich ist.
Schritt 5: Installieren Sie das Zertifikat auf Ihrem Server
Sobald die CA das Zertifikat ausstellt, installieren Sie es auf Ihrem Server und konfigurieren Sie jede aufgelistete Domain, um es zu verwenden. Auf einem Nginx-Server sieht eine grundlegende Konfiguration wie folgt aus:
server {
listen 443 ssl;
server_name www.example.com blog.example.com shop.example.org;
ssl_certificate /etc/ssl/certs/san_certificate.crt;
ssl_certificate_key /etc/ssl/private/san_certificate.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}Wenn Sie eine VPS-Hosting-Umgebung betreiben, haben Sie vollständigen Root-Zugriff, um SSL genau so zu konfigurieren, wie Ihre Infrastruktur es erfordert, ohne die Einschränkungen gemeinsamer Umgebungen.
Verwaltung und Erneuerung Ihres SAN-Zertifikats
Eine ordnungsgemäße Lebenszyklusverwaltung ist kritisch. Ein einzelnes abgelaufenes SAN-Zertifikat kann gleichzeitig HTTPS für jede Domain, die es abdeckt, unterbrechen — ein potenziell katastrophaler Ausfall.
Best Practices für die SAN-Zertifikatsverwaltung
- Führen Sie ein Domain-Inventar: Führen Sie eine aktuelle Liste aller Domains, die von jedem SAN-Zertifikat abgedeckt werden, einschließlich ihrer Ablaufdaten.
- Stellen Sie Erneuerungserinnerungen früh ein: Beginnen Sie den Erneuerungsprozess mindestens 30 Tage vor Ablauf. Viele CAs unterstützen jetzt 90-Tage-Zertifikate (wie Let’s Encrypt), daher wird Automatisierung dringend empfohlen.
- Überprüfen Sie Ihre SAN-Liste bei der Erneuerung: Nutzen Sie jede Erneuerung als Gelegenheit, stillgelegte Domains zu entfernen und neue hinzuzufügen.
- Automatisieren Sie mit ACME-Clients: Tools wie Certbot unterstützen SAN-Zertifikate und können sowohl Ausstellung als auch Erneuerung über das ACME-Protokoll automatisieren.
- Testen Sie nach der Installation: Nach der Installation eines erneuerten Zertifikats verwenden Sie Tools wie SSL Labs’ SSL Test, um zu überprüfen, dass alle aufgelisteten Domains ordnungsgemäß gesichert sind.
Aktualisierung der SAN-Liste
Wenn Sie Domains während des Zyklus hinzufügen oder entfernen müssen, müssen Sie das Zertifikat neu ausstellen (nicht nur erneuern). Die meisten CAs ermöglichen eine kostenlose Neuausstellung innerhalb der Gültigkeitsdauer des Zertifikats. Der Prozess ähnelt dem ursprünglichen Antrag — Sie reichen eine neue CSR mit der aktualisierten SAN-Liste ein und validieren alle neu hinzugefügten Domains erneut.
Häufige Anwendungsfälle für SAN-Zertifikate
SaaS und Webanwendungen
SaaS-Anbieter verwenden häufig SAN-Zertifikate, um ihre Hauptanwendungsdomain, API-Endpunkte, Kundenportale und Marketing-Websites unter einem einzigen Zertifikat zu sichern. Dies vereinfacht Bereitstellungs-Pipelines und gewährleistet konsistente SSL-Abdeckung über die gesamte Produktsuite.
Unternehmensnetzwerke
Große Unternehmen verwalten häufig eine Mischung aus internen Subdomains, Partner-Portalen und öffentlich zugänglichen Websites. Ein SAN-Zertifikat — oder eine Reihe davon — bietet zentrale SSL-Governance über das gesamte Domain-Portfolio. Wenn Ihre Organisation Dedicated Server betreibt, haben Sie die Infrastrukturkontrolle, die benötigt wird, um komplexe SAN-Konfigurationen im großen Maßstab bereitzustellen und zu verwalten.
E-Commerce-Plattformen
Online-Einzelhändler mit regionalen Storefronts (shop.example.co.uk, shop.example.de, shop.example.fr) können jede Storefront mit einem einzelnen SAN-Zertifikat schützen und so ein konsistentes und vertrauenswürdiges Einkaufserlebnis für Kunden weltweit gewährleisten.
E-Mail-Infrastruktur
SAN-Zertifikate werden häufig verwendet, um Mailserver zu sichern und die SMTP-, IMAP- und POP3-Hostnamen unter einem Zertifikat abzudecken. Wenn Sie sich auf E-Mail-Hosting für Geschäftskommunikation verlassen, ist die Sicherstellung, dass das SSL-Zertifikat Ihres Mailservers ordnungsgemäß konfiguriert ist, sowohl für Sicherheit als auch für Zustellbarkeit essentiell.
Entwicklungs- und Staging-Umgebungen
Teams, die mehrere Umgebungen (Produktion, Staging, Entwicklung) über verschiedene Subdomains verwalten, können ein SAN-Zertifikat verwenden, um HTTPS über alle Umgebungen hinweg zu gewährleisten, ohne den Aufwand separater Zertifikate pro Umgebung.
SAN-Zertifikate und Ihre Hosting-Umgebung
Die Art der Hosting-Umgebung, die Sie verwenden, beeinflusst direkt, wie Sie SAN-Zertifikate bereitstellen und verwalten.
Shared Hosting: Bei Shared Web Hosting-Plänen wird die SSL-Verwaltung normalerweise über das Hosting-Kontrollpanel durchgeführt. Überprüfen Sie, ob Ihr Anbieter benutzerdefinierte SAN-Zertifikate unterstützt oder nur Einzeldomänen- und Wildcard-Optionen über seine Schnittstelle anbietet.
VPS-Hosting: Ein VPS mit cPanel bietet Ihnen sowohl die Flexibilität eines verwalteten Kontrollpanels als auch den Server-Level-Zugriff, der erf