Что такое SAN-сертификат? Полное руководство по многодоменному SSL
Защита нескольких веб-сайтов, поддоменов и сервисов с помощью отдельных SSL сертификатов быстро становится кошмаром управления. Сертификат SAN (Subject Alternative Name) — также называемый многодоменным SSL сертификатом — элегантно решает эту проблему, защищая десятки различных доменных имен под одним единственным сертификатом. Независимо от того, управляете ли вы платформой SaaS, корпоративной сетью или электронной коммерцией, охватывающей несколько региональных доменов, понимание SAN сертификатов необходимо для обеспечения безопасности и управляемости вашей инфраструктуры.
Что такое SAN-сертификат?
SAN-сертификат — это тип SSL/TLS-сертификата, который использует расширение Subject Alternative Name для указания нескольких доменных имен в одном сертификате. Вместо того чтобы покупать, устанавливать и продлевать отдельные сертификаты для каждого домена, SAN-сертификат объединяет их все в один.
Например, один SAN-сертификат может одновременно защищать:
www.example.commail.example.comshop.example.orgapp.example.netsecure.example.io
Эта возможность делает SAN-сертификаты идеальным решением для крупных организаций, поставщиков SaaS и любого бизнеса, управляющего несколькими веб-ресурсами.
Как работают SAN сертификаты?
Каждый SSL/TLS сертификат содержит структурированные поля данных, которые определяют, какой(е) домен(ы) он авторизован защищать. В стандартном сертификате для одного домена используется только поле Common Name (CN). SAN сертификат расширяет это, заполняя расширение Subject Alternative Names списком каждого домена, который должен быть покрыт сертификатом.
Когда браузер или сервер инициирует HTTPS соединение, он проверяет, совпадает ли запрошенный домен с Common Name или с любым из SAN, указанных в сертификате. Если совпадение найдено, соединение валидируется и появляется значок замка. Если нет, браузер отображает предупреждение о безопасности.
Пример структуры SAN сертификата
| Поле | Значение |
|---|---|
| Common Name (CN) | www.example.com |
| SAN запись 1 | blog.example.com |
| SAN запись 2 | shop.example.org |
| SAN запись 3 | secure.example.net |
| SAN запись 4 | app.example.io |
Эта архитектура означает, что добавление или обновление покрытых доменов обрабатывается на уровне сертификата — вы просто переиздаете сертификат с обновленным списком SAN вместо того, чтобы создавать совершенно новый сертификат с нуля.
Ключевые преимущества использования SAN-сертификата
1. Значительная экономия затрат
Покупка отдельных SSL-сертификатов для каждого управляемого домена обходится дорого. Один SAN-сертификат покрывает несколько доменов за часть стоимости объединенной цены, что делает его финансово разумным выбором для растущих компаний.
2. Упрощенное управление сертификатами
Вместо отслеживания дат продления, статусов валидации и процедур установки для десятков отдельных сертификатов вы управляете только одним. Это резко снижает административные затраты и риск того, что сертификат истечет незамеченным — что может привести к отключению вашего сайта и потере доверия пользователей.
3. Безопасность без компромиссов
SAN-сертификаты используют те же надежные стандарты шифрования (ключи RSA или ECDSA, хеширование SHA-256), что и сертификаты для одного домена. Объединение доменов под одним сертификатом не ослабляет безопасность какого-либо отдельного домена.
4. Широкая совместимость серверов и клиентов
SAN-сертификаты поддерживаются практически всеми современными веб-серверами (Apache, Nginx, IIS, LiteSpeed), почтовыми серверами и браузерами клиентов. Они являются стандартным подходом в отрасли для развертывания с несколькими доменами.
5. Гибкость в различных доменах верхнего уровня
В отличие от подстановочных сертификатов, которые ограничены поддоменами одного домена, SAN-сертификаты могут защищать совершенно разные доменные имена в разных доменах верхнего уровня (.com, .net, .org, .ioит.д.) одновременно.
Типы SAN-сертификатов
Не все SAN-сертификаты одинаковы. Понимание доступных типов помогает выбрать правильный уровень проверки и покрытия для вашего конкретного случая.
Многодоменный SSL-сертификат (DV или OV)
Наиболее распространенный тип. Защищает несколько полных доменных имен в разных TLD. Доступен с проверкой домена (DV) для быстрого выпуска или проверкой организации (OV) для дополнительных сигналов доверия.
- Лучше всего для: Компаний, управляющих несколькими отдельными веб-сайтами или веб-приложениями.
Wildcard SAN-сертификат
Объединяет покрытие wildcard (*.example.com) с поддержкой нескольких доменов. Один сертификат может одновременно покрывать все поддомены нескольких базовых доменов.
- Лучше всего для: Организаций с большим количеством поддоменов, распределенных по нескольким корневым доменам.
EV (Extended Validation) SAN-сертификат
Обеспечивает наивысший доступный уровень проверки личности. Центр сертификации тщательно проверяет организацию перед выпуском. Все указанные домены получают статус расширенной проверки.
- Лучше всего для: Финансовых учреждений, корпоративных порталов и платформ электронной коммерции, где критически важно максимальное доверие пользователей.
SAN Certificates vs. Wildcard Certificates: Key Differences
Частая точка путаницы — когда выбрать SAN сертификат вместо Wildcard сертификата. Вот прямое сравнение:
| Feature | SAN Certificate | Wildcard Certificate |
|---|---|---|
| Covers multiple root domains | ✅ Yes | ❌ No |
| Covers unlimited subdomains | ❌ No (each SAN listed) | ✅ Yes (one level deep) |
| Supports different TLDs | ✅ Yes | ❌ No |
| EV validation available | ✅ Yes | ❌ No |
| Best for | Diverse domain portfolios | Single domain, many subdomains |
Во многих реальных развертываниях администраторы используют Wildcard SAN сертификат, чтобы получить преимущества обоих подходов.
Как получить SAN сертификат: пошаговое руководство
Шаг 1: Выберите надежный центр сертификации (CA)
Выберите авторитетный CA, который предлагает SAN сертификаты с необходимым уровнем валидации. Ищите CA, включенные во все основные хранилища доверия браузеров. Если вы уже размещаетесь на AlexHost SSL Certificates, вы можете управлять закупкой сертификата непосредственно через панель управления хостингом.
Шаг 2: Создайте запрос на подписание сертификата (CSR)
На вашем сервере создайте CSR, который включает ваш основной домен в качестве Common Name. Большинство современных серверных программ и панелей управления позволяют указать дополнительные SAN при создании CSR.
openssl req -new -newkey rsa:2048 -nodes
-keyout yourdomain.key
-out yourdomain.csr
-subj "/CN=www.example.com"Для записей SAN вы обычно настраиваете их в файле openssl.cnf или непосредственно через веб-портал вашего CA во время процесса подачи заявки.
Шаг 3: Укажите все домены SAN
Во время подачи заявки на сертификат перечислите все домены и поддомены, которые должны быть покрыты сертификатом. Будьте тщательны — добавление доменов после выдачи требует переиздания сертификата.
Шаг 4: Завершите валидацию домена
Для каждого домена, указанного в полях SAN, вы должны доказать право собственности. Три стандартных метода валидации:
- Email валидация: Ответьте на письмо подтверждения, отправленное на зарегистрированный адрес домена.
- DNS валидация: Добавьте специальную TXT или CNAME запись в DNS зону домена.
- Файловая (HTTP) валидация: Загрузите специальный файл в указанную папку на веб-сервер.
DNS валидация обычно предпочтительна для SAN сертификатов, так как может быть автоматизирована и не требует, чтобы веб-сервер был общедоступен во время валидации.
Шаг 5: Установите сертификат на ваш сервер
После выдачи сертификата CA установите его на ваш сервер и настройте каждый указанный домен для его использования. На сервере Nginx базовая конфигурация выглядит следующим образом:
server {
listen 443 ssl;
server_name www.example.com blog.example.com shop.example.org;
ssl_certificate /etc/ssl/certs/san_certificate.crt;
ssl_certificate_key /etc/ssl/private/san_certificate.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}Если вы используете среду VPS Hosting, у вас есть полный root доступ для настройки SSL точно так, как требует ваша инфраструктура, без ограничений общих сред.
Управление и продление вашего SAN сертификата
Надлежащее управление жизненным циклом критически важно. Один истекший SAN сертификат может одновременно нарушить HTTPS для каждого домена, который он охватывает — потенциально катастрофический сбой.
Лучшие практики управления SAN сертификатом
- Ведите инвентарь доменов: Поддерживайте актуальный список всех доменов, охватываемых каждым SAN сертификатом, включая даты их истечения.
- Устанавливайте напоминания о продлении заранее: Начните процесс продления как минимум за 30 дней до истечения срока. Многие ЦС теперь поддерживают 90-дневные сертификаты (например, Let’s Encrypt), поэтому автоматизация настоятельно рекомендуется.
- Проверяйте ваш SAN список при продлении: Используйте каждое продление как возможность удалить выведенные из эксплуатации домены и добавить новые.
- Автоматизируйте с помощью ACME клиентов: Инструменты, такие как Certbot, поддерживают SAN сертификаты и могут автоматизировать как выдачу, так и продление через протокол ACME.
- Протестируйте после установки: После установки продленного сертификата используйте инструменты, такие как SSL Test от SSL Labs, чтобы проверить, что все указанные домены правильно защищены.
Обновление SAN списка
Если вам нужно добавить или удалить домены в середине цикла, вам потребуется переиздать сертификат (а не просто продлить его). Большинство ЦС позволяют бесплатно переиздавать сертификаты в течение периода их действия. Процесс аналогичен исходной заявке — вы отправляете новый CSR с обновленным SAN списком и повторно проверяете любые вновь добавленные домены.
Типичные случаи использования SAN-сертификатов
SaaS и веб-приложения
Поставщики SaaS часто используют SAN-сертификаты для защиты основного домена приложения, конечных точек API, портальных порталов клиентов и маркетинговых сайтов в рамках одного сертификата. Это упрощает конвейеры развертывания и обеспечивает согласованное покрытие SSL во всем наборе продуктов.
Корпоративные сети
Крупные корпорации часто управляют смешанным набором внутренних поддоменов, портальных порталов партнеров и общедоступных веб-сайтов. SAN-сертификат — или набор из них — обеспечивает централизованное управление SSL во всем портфеле доменов. Если ваша организация использует Dedicated Servers, у вас есть контроль инфраструктуры, необходимый для развертывания и управления сложными конфигурациями SAN в масштабе.
Платформы электронной коммерции
Интернет-магазины с региональными витринами (shop.example.co.uk, shop.example.de, shop.example.fr) могут защитить каждую витрину одним SAN-сертификатом, обеспечивая согласованный и надежный опыт покупок для клиентов по всему миру.
Инфраструктура электронной почты
SAN-сертификаты широко используются для защиты почтовых серверов, охватывая имена хостов SMTP, IMAP и POP3 в рамках одного сертификата. Если вы полагаетесь на Email Hosting для деловых коммуникаций, правильная конфигурация SSL-сертификата вашего почтового сервера необходима как для безопасности, так и для доставляемости.
Среды разработки и промежуточного хранения
Команды, управляющие несколькими средами (производство, промежуточное хранилище, разработка) в разных поддоменах, могут использовать SAN-сертификат для поддержания HTTPS во всех средах без затрат на отдельные сертификаты для каждой среды.
SAN-сертификаты и ваша хостинг-среда
Тип используемой вами хостинг-среды напрямую влияет на развертывание и управление SAN-сертификатами.
Shared Hosting: На планах Shared Web Hosting управление SSL обычно осуществляется через панель управления хостингом. Проверьте, поддерживает ли ваш провайдер пользовательские SAN-сертификаты или предлагает только опции для одного домена и подстановочные сертификаты через свой интерфейс.
VPS Hosting: VPS с cPanel предоставляет как гибкость управляемой панели управления, так и доступ на уровне сервера, необходимый для установки пользовательских SAN-сертификатов на нескольких доменах, размещенных на одном сервере.
Dedicated Servers: Для максимального контроля выделенный сервер позволяет вам настроить веб-сервер, балансировщик нагрузки и обратный прокси для использования SAN-сертификатов точно в соответствии с требованиями вашей архитектуры — включая расширенные конфигурации, такие как привязка сертификатов и OCSP stapling.
Часто задаваемые вопросы о SAN сертификатах
Сколько доменов может покрывать SAN сертификат?
Это зависит от CA и конкретного продукта. Большинство коммерческих SAN сертификатов поддерживают от 5 до 250 SAN. Некоторые CA предлагают неограниченное добавление SAN за дополнительную плату за домен.
Могу ли я смешивать разные типы доменов в одном SAN сертификате?
Да. Один SAN сертификат может включать базовые домены, www поддомены, другие поддомены и домены с совершенно разными TLD.
SAN сертификат — это то же самое, что UCC сертификат?
По сути, да. Unified Communications Certificate (UCC) — это маркетинговый термин, используемый в основном в контексте Microsoft Exchange и Office Communications Server. Технически это SAN сертификат, оптимизированный для этих сред.
Влияют ли SAN сертификаты на SEO?
Не напрямую. Для SEO важно, чтобы HTTPS был правильно реализован и не было предупреждений о смешанном контенте. Правильно установленный SAN сертификат достигает этого для каждого домена, который он покрывает, так же как и сертификат для одного домена.
Могу ли я использовать SAN сертификат с CDN или балансировщиком нагрузки?
Да. SAN сертификаты полностью совместимы с развертываниями CDN и балансировщиками нагрузки. Фактически, это один из наиболее распространенных вариантов использования — один SAN сертификат, установленный на граничном узле, покрывает все домены, маршрутизируемые через CDN.
Заключение
SAN сертификат — один из наиболее практичных и экономичных инструментов для защиты многодоменной инфраструктуры. Консолидируя несколько доменов под одним сертификатом, вы снижаете затраты, упрощаете управление и поддерживаете надежную безопасность SSL/TLS по всему вашему веб-присутствию — без компромиссов.
Независимо от того, являетесь ли вы стартапом, управляющим несколькими доменами, предприятием, работающим с сотнями поддоменов, или поставщиком SaaS, защищающим сложный стек приложений, SAN сертификат обеспечивает гибкость и эффективность, которые требует ваша инфраструктура.
Готовы защитить свои домены? Изучите SSL сертификаты AlexHost, чтобы найти подходящий многодоменный сертификат для ваших потребностей, или ознакомьтесь с нашими планами VPS Hosting для полностью управляемой среды, где развертывание и обслуживание SAN сертификатов просто и без хлопот.
на всех хостинговых услугах