Was ist ein SAN-Zertifikat? Der vollständige Leitfaden zu Multi-Domain SSL
Die Sicherung mehrerer Websites, Subdomains und Services mit einzelnen SSL-Zertifikaten wird schnell zu einem Verwaltungsproblem. Ein SAN-Zertifikat (Subject Alternative Name) — auch Multi-Domain-SSL-Zertifikat genannt — löst dieses Problem elegant, indem es Dutzende verschiedener Domainnamen unter einem einzigen, einheitlichen Zertifikat schützt. Egal ob Sie eine SaaS-Plattform, ein Unternehmensnetzwerk oder einen E-Commerce-Betrieb mit mehreren regionalen Domains betreiben, das Verständnis von SAN-Zertifikaten ist essentiell, um Ihre Infrastruktur sowohl sicher als auch verwaltbar zu halten.
Was ist ein SAN-Zertifikat?
Ein SAN-Zertifikat ist eine Art SSL/TLS-Zertifikat, das die Subject Alternative Name-Erweiterung verwendet, um mehrere Domainnamen in einem einzigen Zertifikat aufzulisten. Anstatt separate Zertifikate für jede Domain zu kaufen, zu installieren und zu erneuern, konsolidiert ein SAN-Zertifikat alle in einem.
Beispielsweise kann ein einzelnes SAN-Zertifikat gleichzeitig schützen:
www.example.commail.example.comshop.example.orgapp.example.netsecure.example.io
Diese Funktionalität macht SAN-Zertifikate zur bevorzugten Lösung für große Organisationen, SaaS-Anbieter und alle Unternehmen, die mehr als eine Web-Eigenschaft verwalten.
Wie funktionieren SAN-Zertifikate?
Jedes SSL/TLS-Zertifikat enthält strukturierte Datenfelder, die identifizieren, welche Domain(s) es schützen darf. Bei einem Standard-Einzeldomänen-Zertifikat wird nur das Feld Common Name (CN) verwendet. Ein SAN-Zertifikat erweitert dies, indem es die Erweiterung Subject Alternative Names mit einer Liste aller Domains ausfüllt, die das Zertifikat abdecken soll.
Wenn ein Browser oder Server eine HTTPS-Verbindung initiiert, prüft er, ob die angeforderte Domain entweder dem Common Name oder einem der im Zertifikat aufgelisteten SANs entspricht. Wenn eine Übereinstimmung gefunden wird, wird die Verbindung validiert und das Schlosssymbol wird angezeigt. Falls nicht, zeigt der Browser eine Sicherheitswarnung an.
Beispiel einer SAN-Zertifikatstruktur
| Feld | Wert |
|---|---|
| Common Name (CN) | www.example.com |
| SAN-Eintrag 1 | blog.example.com |
| SAN-Eintrag 2 | shop.example.org |
| SAN-Eintrag 3 | secure.example.net |
| SAN-Eintrag 4 | app.example.io |
Diese Architektur bedeutet, dass das Hinzufügen oder Aktualisieren abgedeckter Domains auf Zertifikatebene erfolgt – Sie geben das Zertifikat einfach mit einer aktualisierten SAN-Liste erneut aus, anstatt ein völlig neues Zertifikat von Grund auf bereitzustellen.
Wichtigste Vorteile der Verwendung eines SAN-Zertifikats
1. Erhebliche Kosteneinsparungen
Der Kauf einzelner SSL-Zertifikate für jede verwaltete Domain ist teuer. Ein einzelnes SAN-Zertifikat deckt mehrere Domains für einen Bruchteil der Gesamtkosten ab und ist daher eine finanziell intelligente Wahl für wachsende Unternehmen.
2. Vereinfachte Zertifikatverwaltung
Anstatt Erneuerungstermine, Validierungsstatus und Installationsverfahren für Dutzende separater Zertifikate zu verfolgen, verwalten Sie nur eines. Dies reduziert den administrativen Aufwand erheblich und das Risiko, dass ein Zertifikat unbemerkt abläuft – was Ihre Website offline nehmen und das Vertrauen der Benutzer sofort zerstören kann.
3. Keine Kompromisse bei der Sicherheit
SAN-Zertifikate verwenden die gleichen robusten Verschlüsselungsstandards (RSA- oder ECDSA-Schlüssel, SHA-256-Hashing) wie Single-Domain-Zertifikate. Die Konsolidierung von Domains unter einem Zertifikat schwächt die Sicherheit einer einzelnen Domain nicht ab.
4. Breite Server- und Client-Kompatibilität
SAN-Zertifikate werden von praktisch allen modernen Webservern (Apache, Nginx, IIS, LiteSpeed), Mailservern und Client-Browsern unterstützt. Sie sind der Industriestandard für Multi-Domain-Bereitstellungen.
5. Flexibilität über TLDs hinweg
Im Gegensatz zu Wildcard-Zertifikaten, die auf Subdomains einer einzelnen Domain beschränkt sind, können SAN-Zertifikate völlig unterschiedliche Domainnamen über verschiedene Top-Level-Domains (.com, .net, .org, .io, usw.) gleichzeitig schützen.
Arten von SAN-Zertifikaten
Nicht alle SAN-Zertifikate sind gleich. Das Verständnis der verfügbaren Typen hilft Ihnen, die richtige Validierungsstufe und Abdeckung für Ihren spezifischen Anwendungsfall zu wählen.
Multi-Domain SSL-Zertifikat (DV oder OV)
Der häufigste Typ. Schützt mehrere vollständig qualifizierte Domänennamen über verschiedene TLDs hinweg. Verfügbar mit Domain Validation (DV) für schnelle Ausstellung oder Organization Validation (OV) für zusätzliche Vertrauenssignale.
- Am besten für: Unternehmen, die mehrere unterschiedliche Websites oder Webanwendungen verwalten.
Wildcard SAN-Zertifikat
Kombiniert Wildcard-Abdeckung (*.example.com) mit Multi-Domain-Unterstützung. Ein einzelnes Zertifikat kann alle Subdomänen mehrerer Basisdomänen gleichzeitig abdecken.
- Am besten für: Organisationen mit großen Mengen an Subdomänen, die über mehrere Root-Domänen verteilt sind.
EV (Extended Validation) SAN-Zertifikat
Bietet die höchste verfügbare Stufe der Identitätsüberprüfung. Die Zertifizierungsstelle überprüft die Organisation vor der Ausstellung gründlich. Alle aufgelisteten Domänen profitieren vom Status der erweiterten Validierung.
- Am besten für: Finanzinstitute, Unternehmensportale und E-Commerce-Plattformen, bei denen maximales Benutzervertrauen entscheidend ist.
SAN-Zertifikate vs. Wildcard-Zertifikate: Wichtigste Unterschiede
Ein häufiger Verwirrungspunkt ist die Entscheidung, wann man ein SAN-Zertifikat einem Wildcard-Zertifikat vorzieht. Hier ist ein direkter Vergleich:
| Funktion | SAN-Zertifikat | Wildcard-Zertifikat |
|---|---|---|
| Deckt mehrere Root-Domains ab | ✅ Ja | ❌ Nein |
| Deckt unbegrenzte Subdomains ab | ❌ Nein (jedes SAN aufgelistet) | ✅ Ja (eine Ebene tief) |
| Unterstützt verschiedene TLDs | ✅ Ja | ❌ Nein |
| EV-Validierung verfügbar | ✅ Ja | ❌ Nein |
| Am besten geeignet für | Vielfältige Domain-Portfolios | Einzelne Domain, viele Subdomains |
In vielen realen Bereitstellungen verwenden Administratoren ein Wildcard-SAN-Zertifikat, um die Vorteile beider Ansätze zu nutzen.
So erhalten Sie ein SAN-Zertifikat: Schritt für Schritt
Schritt 1: Wählen Sie eine vertrauenswürdige Zertifizierungsstelle (CA)
Wählen Sie eine seriöse CA, die SAN-Zertifikate mit der benötigten Validierungsstufe anbietet. Suchen Sie nach CAs, die in allen großen Browser-Vertrauensspeichern enthalten sind. Wenn Sie bereits bei AlexHost SSL-Zertifikate gehostet werden, können Sie Ihre Zertifikatsbeschaffung direkt über Ihr Hosting-Dashboard verwalten.
Schritt 2: Generieren Sie eine Certificate Signing Request (CSR)
Generieren Sie auf Ihrem Server eine CSR, die Ihre primäre Domain als Common Name enthält. Die meisten modernen Serversoftware und Control Panels ermöglichen es Ihnen, während der CSR-Generierung zusätzliche SANs anzugeben.
openssl req -new -newkey rsa:2048 -nodes
-keyout yourdomain.key
-out yourdomain.csr
-subj "/CN=www.example.com"Für SAN-Einträge konfigurieren Sie diese normalerweise in Ihrer openssl.cnf Datei oder direkt über das Webportal Ihrer CA während des Antragsverfahrens.
Schritt 3: Geben Sie alle SAN-Domains an
Führen Sie während der Zertifikatsanwendung jede Domain und Subdomain auf, die das Zertifikat abdecken soll. Seien Sie gründlich — das Hinzufügen von Domains nach der Ausstellung erfordert eine Zertifikatsneuausstellung.
Schritt 4: Schließen Sie die Domain-Validierung ab
Für jede Domain in den SAN-Feldern müssen Sie den Besitz nachweisen. Die drei standardmäßigen Validierungsmethoden sind:
- E-Mail-Validierung: Antworten Sie auf eine Bestätigungs-E-Mail, die an eine registrierte Adresse für die Domain gesendet wird.
- DNS-Validierung: Fügen Sie einen bestimmten TXT- oder CNAME-Datensatz zur DNS-Zone der Domain hinzu.
- Dateibasierte (HTTP) Validierung: Laden Sie eine bestimmte Datei in einen bestimmten Pfad auf dem Webserver hoch.
DNS-Validierung wird für SAN-Zertifikate im Allgemeinen bevorzugt, da sie automatisiert werden kann und nicht erfordert, dass der Webserver während der Validierung öffentlich zugänglich ist.
Schritt 5: Installieren Sie das Zertifikat auf Ihrem Server
Sobald die CA das Zertifikat ausstellt, installieren Sie es auf Ihrem Server und konfigurieren Sie jede aufgelistete Domain, um es zu verwenden. Auf einem Nginx-Server sieht eine grundlegende Konfiguration wie folgt aus:
server {
listen 443 ssl;
server_name www.example.com blog.example.com shop.example.org;
ssl_certificate /etc/ssl/certs/san_certificate.crt;
ssl_certificate_key /etc/ssl/private/san_certificate.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}Wenn Sie eine VPS-Hosting Umgebung betreiben, haben Sie vollständigen Root-Zugriff, um SSL genau so zu konfigurieren, wie Ihre Infrastruktur es erfordert, ohne die Einschränkungen gemeinsamer Umgebungen.
Verwaltung und Erneuerung Ihres SAN-Zertifikats
Eine ordnungsgemäße Lebenszyklusverwaltung ist entscheidend. Ein einzelnes abgelaufenes SAN-Zertifikat kann gleichzeitig HTTPS für jede Domäne, die es abdeckt, unterbrechen — ein potenziell katastrophaler Ausfall.
Best Practices für die SAN-Zertifikatverwaltung
- Führen Sie ein Domäneninventar: Halten Sie eine aktuelle Liste aller Domänen, die von jedem SAN-Zertifikat abgedeckt werden, einschließlich ihrer Ablaufdaten.
- Legen Sie Erneuerungserinnerungen frühzeitig fest: Beginnen Sie den Erneuerungsprozess mindestens 30 Tage vor Ablauf. Viele CAs unterstützen jetzt 90-Tage-Zertifikate (wie Let’s Encrypt), daher wird Automatisierung dringend empfohlen.
- Überprüfen Sie Ihre SAN-Liste bei der Erneuerung: Nutzen Sie jede Erneuerung als Gelegenheit, um stillgelegte Domänen zu entfernen und neue hinzuzufügen.
- Automatisieren Sie mit ACME-Clients: Tools wie Certbot unterstützen SAN-Zertifikate und können sowohl Ausstellung als auch Erneuerung über das ACME-Protokoll automatisieren.
- Testen Sie nach der Installation: Verwenden Sie nach der Installation eines erneuerten Zertifikats Tools wie SSL Labs’ SSL Test, um zu überprüfen, dass alle aufgelisteten Domänen ordnungsgemäß gesichert sind.
Aktualisierung der SAN-Liste
Wenn Sie Domänen während des Zyklus hinzufügen oder entfernen müssen, müssen Sie das Zertifikat neu ausstellen (nicht nur erneuern). Die meisten CAs ermöglichen eine kostenlose Neuausstellung innerhalb der Gültigkeitsdauer des Zertifikats. Der Prozess ähnelt dem ursprünglichen Antrag — Sie reichen eine neue CSR mit der aktualisierten SAN-Liste ein und validieren alle neu hinzugefügten Domänen erneut.
Häufige Anwendungsfälle für SAN-Zertifikate
SaaS und Webanwendungen
SaaS-Anbieter verwenden häufig SAN-Zertifikate, um ihre Hauptanwendungsdomäne, API-Endpunkte, Kundenportale und Marketing-Websites unter einem einzigen Zertifikat zu sichern. Dies vereinfacht Deployment-Pipelines und gewährleistet eine konsistente SSL-Abdeckung über die gesamte Produktsuite hinweg.
Unternehmensnetze
Große Unternehmen verwalten häufig eine Mischung aus internen Subdomänen, Partner-Portalen und öffentlich zugänglichen Websites. Ein SAN-Zertifikat – oder eine Reihe davon – bietet zentrale SSL-Governance über das gesamte Domain-Portfolio. Wenn Ihre Organisation Dedicated Servers betreibt, verfügen Sie über die Infrastrukturkontrolle, die erforderlich ist, um komplexe SAN-Konfigurationen in großem Maßstab bereitzustellen und zu verwalten.
E-Commerce-Plattformen
Online-Einzelhändler mit regionalen Storefronts (shop.example.co.uk, shop.example.de, shop.example.fr) können jede Storefront mit einem einzigen SAN-Zertifikat schützen und so ein konsistentes und vertrauenswürdiges Einkaufserlebnis für Kunden weltweit gewährleisten.
E-Mail-Infrastruktur
SAN-Zertifikate werden häufig verwendet, um Mail-Server zu sichern und die SMTP-, IMAP- und POP3-Hostnamen unter einem Zertifikat abzudecken. Wenn Sie sich auf Email Hosting für geschäftliche Kommunikation verlassen, ist die korrekte Konfiguration des SSL-Zertifikats Ihres Mail-Servers sowohl für die Sicherheit als auch für die Zustellbarkeit unerlässlich.
Entwicklungs- und Staging-Umgebungen
Teams, die mehrere Umgebungen (Produktion, Staging, Entwicklung) über verschiedene Subdomänen verwalten, können ein SAN-Zertifikat verwenden, um HTTPS über alle Umgebungen hinweg zu gewährleisten, ohne den Overhead separater Zertifikate pro Umgebung zu haben.
SAN-Zertifikate und Ihre Hosting-Umgebung
Der Typ der Hosting-Umgebung, die Sie verwenden, wirkt sich direkt darauf aus, wie Sie SAN-Zertifikate bereitstellen und verwalten.
Shared Hosting: Bei Shared Web Hosting-Plänen wird die SSL-Verwaltung normalerweise über das Hosting-Kontrollpanel durchgeführt. Überprüfen Sie, ob Ihr Provider benutzerdefinierte SAN-Zertifikate unterstützt oder nur Single-Domain- und Wildcard-Optionen über ihre Schnittstelle anbietet.
VPS Hosting: Ein VPS mit cPanel bietet Ihnen sowohl die Flexibilität eines verwalteten Kontrollpanels als auch den Server-Level-Zugriff, der erforderlich ist, um benutzerdefinierte SAN-Zertifikate auf mehreren Domains zu installieren, die auf demselben Server gehostet werden.
Dedicated Servers: Für maximale Kontrolle ermöglicht Ihnen ein Dedicated Server, Ihren Webserver, Load Balancer und Reverse Proxy so zu konfigurieren, dass SAN-Zertifikate genau nach Ihren Architekturanforderungen verwendet werden – einschließlich erweiterter Konfigurationen wie Certificate Pinning und OCSP Stapling.
Häufig gestellte Fragen zu SAN-Zertifikaten
Wie viele Domains kann ein SAN-Zertifikat abdecken?
Dies hängt von der CA und dem spezifischen Produkt ab. Die meisten kommerziellen SAN-Zertifikate unterstützen zwischen 5 und 250 SANs. Einige CAs bieten unbegrenzte SAN-Ergänzungen gegen eine zusätzliche Pro-Domain-Gebühr an.
Kann ich verschiedene Domain-Typen in einem SAN-Zertifikat kombinieren?
Ja. Ein einzelnes SAN-Zertifikat kann nackte Domains, www Subdomains, andere Subdomains und Domains über völlig unterschiedliche TLDs hinweg enthalten.
Ist ein SAN-Zertifikat dasselbe wie ein UCC-Zertifikat?
Im Wesentlichen ja. Ein Unified Communications Certificate (UCC) ist ein Marketingbegriff, der hauptsächlich in Microsoft Exchange und Office Communications Server-Kontexten verwendet wird. Technisch gesehen ist es ein SAN-Zertifikat, das für diese Umgebungen optimiert ist.
Beeinflussen SAN-Zertifikate die SEO?
Nicht direkt. Für SEO ist wichtig, dass HTTPS ordnungsgemäß implementiert ist und dass keine Mixed-Content-Warnungen vorhanden sind. Ein ordnungsgemäß installiertes SAN-Zertifikat erreicht dies für jede Domain, die es abdeckt, genauso wie ein Single-Domain-Zertifikat.
Kann ich ein SAN-Zertifikat mit einem CDN oder Load Balancer verwenden?
Ja. SAN-Zertifikate sind vollständig kompatibel mit CDN-Bereitstellungen und Load Balancern. Tatsächlich ist dies einer der häufigsten Anwendungsfälle — ein einzelnes SAN-Zertifikat, das am Edge installiert ist, deckt alle Domains ab, die durch das CDN geleitet werden.
Fazit
Ein SAN-Zertifikat ist eines der praktischsten und kostengünstigsten Tools zur Sicherung einer Multi-Domain-Infrastruktur. Durch die Konsolidierung mehrerer Domains unter einem einzigen Zertifikat reduzieren Sie Kosten, vereinfachen die Verwaltung und gewährleisten starke SSL/TLS-Sicherheit in Ihrer gesamten Web-Präsenz — ohne Kompromisse.
Egal ob Sie ein Startup sind, das eine Handvoll Domains verwaltet, ein Unternehmen, das Hunderte von Subdomains betreibt, oder ein SaaS-Anbieter, der einen komplexen Anwendungs-Stack sichert — ein SAN-Zertifikat bietet die Flexibilität und Effizienz, die Ihre Infrastruktur erfordert.
Bereit, Ihre Domains zu sichern? Erkunden Sie AlexHost SSL Certificates, um das richtige Multi-Domain-Zertifikat für Ihre Anforderungen zu finden, oder schauen Sie sich unsere VPS Hosting Pläne an, um eine vollständig verwaltete Umgebung zu erhalten, in der die Bereitstellung und Verwaltung von SAN-Zertifikaten unkompliziert und problemlos ist.
bei allen Hosting-Diensten