Заощадьте 15% на всіх хостингових послугах

Перевірте свої навички і отримайте Знижку на будь-який план хостингу

Використовуй код: Skills Почати
Рубрики
Безпека

Що таке SAN сертифікат? Повний посібник з Multi-Domain SSL

Захист кількох веб-сайтів, поддоменів та сервісів за допомогою окремих SSL сертифікатів швидко стає кошмаром управління. SAN (Subject Alternative Name) сертифікат — також називається мультидоменним SSL сертифікатом — елегантно вирішує цю проблему, захищаючи десятки різних доменних імен під одним уніфікованим сертифікатом. Незалежно від того, чи ви керуєте платформою SaaS, корпоративною мережею або операцією електронної комерції, що охоплює кілька регіональних доменів, розуміння SAN сертифікатів є важливим для збереження вашої інфраструктури як безпечною, так і керованою.

Що таке SAN сертифікат?

SAN сертифікат — це тип SSL/TLS сертифіката, який використовує розширення Subject Alternative Name для перелічення кількох доменних імен в одному сертифікаті. Замість того, щоб купувати, встановлювати та поновлювати окремі сертифікати для кожного домену, який ви володієте, SAN сертифікат консолідує їх усі в один.

Наприклад, один SAN сертифікат може одночасно захищати:

  • www.example.com
  • mail.example.com
  • shop.example.org
  • app.example.net
  • secure.example.io

Ця можливість робить SAN сертифікати найпопулярнішим рішенням для великих організацій, SaaS-провайдерів та будь-яких компаній, які керують більш ніж одним веб-ресурсом.

Як працюють SAN сертифікати?

Кожен SSL/TLS сертифікат містить структуровані поля даних, які визначають, які домени він уповноважений захищати. У стандартному сертифікаті для одного домена використовується лише поле Common Name (CN). SAN сертифікат розширює це, заповнюючи розширення Subject Alternative Names списком кожного домена, який сертифікат повинен охоплювати.

Коли браузер або сервер ініціює HTTPS з’єднання, він перевіряє, чи запитуваний домен відповідає Common Name або будь-якому з SAN, перелічених у сертифікаті. Якщо знайдено збіг, з’єднання валідується і з’являється значок замка. Якщо ні, браузер відображає попередження безпеки.

Приклад структури SAN сертифіката

ПолеЗначення
Common Name (CN)www.example.com
SAN запис 1blog.example.com
SAN запис 2shop.example.org
SAN запис 3secure.example.net
SAN запис 4app.example.io

Ця архітектура означає, що додавання або оновлення охоплених доменів обробляється на рівні сертифіката — ви просто перевидаєте сертифікат з оновленим списком SAN замість того, щоб створювати абсолютно новий сертифікат з нуля.

Ключові переваги використання SAN сертифіката

1. Значна економія витрат

Придбання окремих SSL сертифікатів для кожного домену, яким ви керуєте, дорого. Один SAN сертифікат охоплює кілька доменів за частку від сукупної вартості, що робить його фінансово розумним вибором для растучих бізнесів.

2. Спрощене управління сертифікатами

Замість відстеження дат поновлення, статусів валідації та процедур встановлення для десятків окремих сертифікатів, ви керуєте лише одним. Це драматично зменшує адміністративні витрати та ризик того, що сертифікат закінчиться непомітно — що може взяти ваш сайт в офлайн та знищити довіру користувачів миттєво.

3. Без компромісу щодо безпеки

SAN сертифікати використовують ті ж надійні стандарти шифрування (RSA або ECDSA ключі, SHA-256 хешування), що й сертифікати для одного домену. Консолідація доменів під одним сертифікатом не послаблює позицію безпеки жодного окремого домену.

4. Широка сумісність серверів та клієнтів

SAN сертифікати підтримуються практично всіма сучасними веб-серверами (Apache, Nginx, IIS, LiteSpeed), поштовими серверами та браузерами клієнтів. Вони є стандартним підходом в галузі для розгортання з кількома доменами.

5. Гнучкість у різних TLD

На відміну від підстановочних сертифікатів, які обмежені піддоменами одного домену, SAN сертифікати можуть захищати абсолютно різні назви доменів у різних доменах верхнього рівня (.com, .net, .org, .io, тощо) одночасно.

Типи SAN сертифікатів

Не всі SAN сертифікати однакові. Розуміння доступних типів допомагає вибрати правильний рівень перевірки та покриття для вашого конкретного випадку використання.

Багатодоменний SSL сертифікат (DV або OV)

Найпоширеніший тип. Захищає кілька повністю кваліфікованих імен доменів у різних TLD. Доступний з Domain Validation (DV) для швидкого видання або Organization Validation (OV) для додаткових сигналів довіри.

  • Найкраще для: Компаній, які керують кількома окремими веб-сайтами або веб-додатками.

Wildcard SAN сертифікат

Поєднує wildcard покриття (*.example.com) з багатодоменною підтримкою. Один сертифікат може охопити всі поддомени кількох базових доменів одночасно.

  • Найкраще для: Організацій з великою кількістю поддоменів, розподілених на кілька кореневих доменів.

EV (Extended Validation) SAN сертифікат

Забезпечує найвищий доступний рівень перевірки ідентичності. Центр сертифікації ретельно перевіряє організацію перед видачею. Усі перелічені домени отримують переваги статусу розширеної перевірки.

  • Найкраще для: Фінансових установ, корпоративних порталів та платформ електронної комерції, де максимальна довіра користувачів критична.

SAN сертифікати проти Wildcard сертифікатів: ключові відмінності

Частою точкою плутанини є вибір між SAN сертифікатом та wildcard сертифікатом. Ось пряме порівняння:

ФункціяSAN сертифікатWildcard сертифікат
Охоплює кілька кореневих доменів✅ Так❌ Ні
Охоплює необмежену кількість поддоменів❌ Ні (кожен SAN вказаний)✅ Так (один рівень глибини)
Підтримує різні TLD✅ Так❌ Ні
Доступна EV валідація✅ Так❌ Ні
Найкраще дляРізноманітних портфелів доменівОдного домену, багатьох поддоменів

У багатьох реальних розгортаннях адміністратори використовують Wildcard SAN сертифікат, щоб отримати переваги обох підходів.

Як отримати SAN сертифікат: покроковий посібник

Крок 1: Виберіть надійний центр сертифікації (CA)

Виберіть авторитетний CA, який пропонує SAN сертифікати з потрібним вам рівнем перевірки. Шукайте CA, які включені до всіх основних сховищ довіри браузерів. Якщо ви вже розміщуєте сайт на AlexHost SSL Certificates, ви можете керувати закупівлею сертифіката безпосередньо через панель керування хостингом.

Крок 2: Створіть запит на підписання сертифіката (CSR)

На вашому сервері створіть CSR, який включає вашу основну домену як Common Name. Більшість сучасного серверного ПО та панелей керування дозволяють вказати додаткові SAN під час створення CSR.

openssl req -new -newkey rsa:2048 -nodes 
  -keyout yourdomain.key 
  -out yourdomain.csr 
  -subj "/CN=www.example.com"

Для записів SAN ви зазвичай налаштуєте їх у вашому openssl.cnf файлі або безпосередньо через веб-портал вашого CA під час процесу подання заявки.

Крок 3: Вкажіть усі домени SAN

Під час подання заявки на сертифікат перелічіть кожну домену та поддомену, які ви хочете охопити сертифікатом. Будьте ретельні — додавання доменів після видачі вимагає переоформлення сертифіката.

Крок 4: Завершіть перевірку домени

Для кожної домени, вказаної в полях SAN, ви повинні довести право власності. Три стандартні методи перевірки:

  • Перевірка електронною поштою: Відповідьте на лист підтвердження, надісланий на зареєстровану адресу домени.
  • Перевірка DNS: Додайте конкретний запис TXT або CNAME до DNS зони домени.
  • Перевірка на основі файлів (HTTP): Завантажте конкретний файл до призначеної папки на веб-сервері.

Перевірка DNS зазвичай є кращим вибором для SAN сертифікатів, оскільки її можна автоматизувати і вона не вимагає, щоб веб-сервер був загальнодоступним під час перевірки.

Крок 5: Встановіть сертифікат на вашому сервері

Після видачі сертифіката CA встановіть його на вашому сервері та налаштуйте кожну вказану домену для його використання. На сервері Nginx базова конфігурація виглядає так:

server {
    listen 443 ssl;
    server_name www.example.com blog.example.com shop.example.org;

    ssl_certificate     /etc/ssl/certs/san_certificate.crt;
    ssl_certificate_key /etc/ssl/private/san_certificate.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
}

Якщо ви запускаєте середовище VPS Hosting, у вас є повний root доступ для налаштування SSL точно так, як вимагає ваша інфраструктура, без обмежень спільних середовищ.

Управління та поновлення вашого SAN сертифіката

Правильне управління життєвим циклом є критичним. Один закінчений SAN сертифікат може одночасно порушити HTTPS для кожного домену, який він охоплює — потенційно катастрофічний збій.

Найкращі практики управління SAN сертифікатом

  • Ведіть інвентаризацію доменів: Зберігайте актуальний список усіх доменів, охоплених кожним SAN сертифікатом, включаючи дати їх закінчення.
  • Встановлюйте нагадування про поновлення заздалегідь: Розпочніть процес поновлення щонайменше за 30 днів до закінчення терміну дії. Багато ЦС тепер підтримують 90-денні сертифікати (як Let’s Encrypt), тому автоматизація настійно рекомендується.
  • Перевіряйте свій список SAN при поновленні: Використовуйте кожне поновлення як можливість видалити виведені з експлуатації домени та додати нові.
  • Автоматизуйте за допомогою ACME клієнтів: Інструменти як Certbot підтримують SAN сертифікати та можуть автоматизувати як видачу, так і поновлення через протокол ACME.
  • Тестуйте після встановлення: Після встановлення поновленого сертифіката використовуйте інструменти як SSL Test від SSL Labs для перевірки того, що всі перелічені домени правильно захищені.

Оновлення списку SAN

Якщо вам потрібно додати або видалити домени в середині циклу, вам потрібно буде перевидати сертифікат (а не просто його поновити). Більшість ЦС дозволяють безплатну перевидачу протягом періоду дійсності сертифіката. Процес відповідає первісній заявці — ви подаєте новий CSR зі оновленим списком SAN та повторно перевіряєте будь-які новодобавлені домени.

Поширені випадки використання SAN сертифікатів

SaaS та веб-додатки

Постачальники SaaS часто використовують SAN сертифікати для захисту основного домену додатку, кінцевих точок API, портальів клієнтів та маркетингових сайтів під одним сертифікатом. Це спрощує конвеєри розгортання та забезпечує послідовне покриття SSL на всьому наборі продуктів.

Корпоративні мережі

Великі корпорації часто керують комбінацією внутрішніх поддоменів, портальних партнерів та громадських веб-сайтів. SAN сертифікат — або набір них — забезпечує централізоване управління SSL на всьому портфелі доменів. Якщо ваша організація запускає Виділені сервери, у вас є контроль інфраструктури, необхідний для розгортання та управління складними конфігураціями SAN у масштабі.

Платформи електронної комерції

Інтернет-магазини з регіональними магазинами (shop.example.co.uk, shop.example.de, shop.example.fr) можуть захистити кожен магазин одним SAN сертифікатом, забезпечуючи послідовний та надійний досвід покупок для клієнтів у всьому світі.

Поштова інфраструктура

SAN сертифікати широко використовуються для захисту поштових серверів, охоплюючи імена хостів SMTP, IMAP та POP3 під одним сертифікатом. Якщо ви покладаєтесь на Поштовий хостинг для ділового спілкування, забезпечення правильної конфігурації SSL сертифіката вашого поштового сервера є важливим як для безпеки, так і для доставляємості.

Середовища розробки та тестування

Команди, які керують кількома середовищами (виробництво, тестування, розробка) на різних поддоменах, можуть використовувати SAN сертифікат для підтримки HTTPS на всіх середовищах без витрат на окремі сертифікати для кожного середовища.

SAN сертифікати та ваше хостинг-середовище

Тип хостинг-середовища, який ви використовуєте, безпосередньо впливає на те, як ви розгортаєте та керуєте SAN сертифікатами.

Спільний хостинг: На планах спільного веб-хостингу управління SSL зазвичай здійснюється через панель керування хостингом. Перевірте, чи ваш провайдер підтримує користувацькі SAN сертифікати або пропонує лише варіанти для однієї домени та підстановки через їхній інтерфейс.

VPS хостинг: VPS з cPanel надає вам як гнучкість керованої панелі керування, так і доступ на рівні сервера, необхідний для встановлення користувацьких SAN сертифікатів на кількох доменах, розміщених на одному сервері.

Виділені сервери: Для максимального контролю виділений сервер дозволяє вам налаштувати ваш веб-сервер, балансувальник навантаження та зворотний проксі для використання SAN сертифікатів точно так, як вимагає ваша архітектура — включаючи розширені конфігурації, такі як закріплення сертифіката та OCSP stapling.

Часто задавані питання про сертифікати SAN

Скільки доменів може охоплювати сертифікат SAN?

Це залежить від ЦА та конкретного продукту. Більшість комерційних сертифікатів SAN підтримують від 5 до 250 SAN. Деякі ЦА пропонують необмежене додавання SAN за додаткову плату за домен.

Чи можу я змішувати різні типи доменів в одному сертифікаті SAN?

Так. Один сертифікат SAN може включати базові домени, www поддомени, інші поддомени та домени з абсолютно різними TLD.

Чи сертифікат SAN те саме, що сертифікат UCC?

По суті, так. Сертифікат уніфікованих комунікацій (UCC) — це маркетинговий термін, який використовується переважно в контексті Microsoft Exchange та Office Communications Server. Технічно це сертифікат SAN, оптимізований для цих середовищ.

Чи впливають сертифікати SAN на SEO?

Не безпосередньо. Для SEO важливо, щоб HTTPS був правильно реалізований і не було попереджень про змішаний контент. Правильно встановлений сертифікат SAN досягає цього для кожного домену, який він охоплює, так само як і сертифікат для одного домену.

Чи можу я використовувати сертифікат SAN з CDN або балансувальником навантаження?

Так. Сертифікати SAN повністю сумісні з розгортаннями CDN та балансувальниками навантаження. Насправді, це один з найпоширеніших випадків використання — один сертифікат SAN, встановлений на краю, охоплює всі домени, маршрутизовані через CDN.

Висновок

SAN сертифікат — один з найпрактичніших і найекономічніших інструментів для захисту багатодоменної інфраструктури. Консолідуючи кілька доменів під одним сертифікатом, ви зменшуєте витрати, спрощуєте управління та підтримуєте надійну безпеку SSL/TLS на всьому вашому веб-присутності — без компромісів.

Незалежно від того, чи ви стартап, який керує кількома доменами, великої компанії, яка запускає сотні піддоменів, або SaaS-провайдера, який захищає складний стек додатків, SAN сертифікат забезпечує гнучкість та ефективність, які потребує ваша інфраструктура.

Готові захистити свої домени? Дослідіть SSL сертифікати AlexHost, щоб знайти правильний багатодоменний сертифікат для ваших потреб, або перегляньте наші плани VPS Hosting для повністю керованого середовища, де розгортання та обслуговування SAN сертифікатів є простим і безпроблемним.