提交工单 
+373 79 600002 
Telegram 在线聊天 
常见问题 
中文 (中国)
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
安全SAN证书是什么?多域名SSL完整指南
使用单个SSL证书保护多个网站、子域名和服务很快就会成为管理噩梦。SAN(Subject Alternative Name,主题备用名称)证书——也称为多域名SSL证书——通过在单个统一证书下保护数十个不同的域名,优雅地解决了这个问题。无论您运营SaaS平台、企业网络还是跨越多个地区域名的电子商务运营,了解SAN证书对于保持基础设施的安全性和可管理性至关重要。
什么是SAN证书?
SAN证书是一种SSL/TLS证书,它使用Subject Alternative Name(主题备用名称)扩展在单个证书中列出多个域名。您无需为拥有的每个域名购买、安装和续期单独的证书,SAN证书将它们全部整合到一个证书中。
例如,单个SAN证书可以同时保护:
www.example.commail.example.comshop.example.orgapp.example.netsecure.example.io
这种能力使SAN证书成为大型组织、SaaS提供商和任何管理多个网络资产的企业的首选解决方案。
SAN证书如何工作?
每个SSL/TLS证书都包含结构化数据字段,用于标识它被授权保护的域名。在标准的单域名证书中,仅使用Common Name(通用名称,CN)字段。SAN证书通过在Subject Alternative Names(主题备用名称)扩展中填充证书应覆盖的每个域名列表来扩展此功能。
当浏览器或服务器启动HTTPS连接时,它会检查请求的域名是否与证书中列出的Common Name或任何SAN相匹配。如果找到匹配项,连接将被验证并显示挂锁图标。如果没有,浏览器将显示安全警告。
SAN证书结构示例
| 字段 | 值 |
|---|---|
| Common Name(通用名称,CN) | www.example.com |
| SAN条目1 | blog.example.com |
| SAN条目2 | shop.example.org |
| SAN条目3 | secure.example.net |
| SAN条目4 | app.example.io |
这种架构意味着添加或更新覆盖的域名是在证书级别处理的——您只需使用更新的SAN列表重新颁发证书,而不是从头开始配置全新的证书。
使用SAN证书的主要优势
1. 显著的成本节省
为您管理的每个域名购买单个SSL证书成本很高。单个SAN证书以合并成本的一小部分覆盖多个域名,对于成长中的企业来说是一个财务上的明智选择。
2. 简化的证书管理
您无需跟踪数十个单独证书的续期日期、验证状态和安装程序,而是只需管理一个。这大大降低了管理开销和证书在不知情的情况下过期的风险——这可能会导致您的网站离线并摧毁用户信任。
3. 安全性没有妥协
SAN证书使用与单域名证书相同的强大加密标准(RSA或ECDSA密钥、SHA-256哈希)。将域名整合到一个证书下不会削弱任何单个域名的安全态势。
4. 广泛的服务器和客户端兼容性
SAN证书受到几乎所有现代Web服务器(Apache、Nginx、IIS、LiteSpeed)、邮件服务器和客户端浏览器的支持。它们是多域名部署的行业标准方法。
5. 跨TLD的灵活性
与通配符证书不同,通配符证书仅限于单个域名的子域名,SAN证书可以同时保护跨不同顶级域名(.com、.net、.org、.io等)的完全不同的域名。
SAN证书的类型
并非所有SAN证书都相同。了解可用的类型有助于您为特定用例选择正确的验证级别和覆盖范围。
多域名SSL证书(DV或OV)
最常见的类型。保护跨不同TLD的多个完全限定域名。可用于域名验证(DV)以快速颁发或组织验证(OV)以增加信任信号。
- 最适合:管理多个不同网站或Web应用程序的企业。
通配符SAN证书
结合通配符覆盖(*.example.com)和多域名支持。单个证书可以同时覆盖多个基础域名的所有子域名。
- 最适合:在多个根域名中拥有大量子域名的组织。
EV(扩展验证)SAN证书
提供最高可用的身份验证级别。证书颁发机构在颁发前严格审查组织。所有列出的域名都受益于扩展验证状态。
- 最适合:金融机构、企业门户和电子商务平台,其中最大用户信任至关重要。
SAN证书与通配符证书:主要区别
一个常见的困惑点是何时选择SAN证书而不是通配符证书。以下是直接比较:
| 功能 | SAN证书 | 通配符证书 |
|---|---|---|
| 覆盖多个根域名 | ✅ 是 | ❌ 否 |
| 覆盖无限子域名 | ❌ 否(每个SAN列出) | ✅ 是(一级深) |
| 支持不同TLD | ✅ 是 | ❌ 否 |
| EV验证可用 | ✅ 是 | ❌ 否 |
| 最适合 | 多样化的域名组合 | 单个域名,多个子域名 |
在许多现实部署中,管理员使用通配符SAN证书来获得两种方法的优势。
如何获取SAN证书:分步指南
步骤1:选择受信任的证书颁发机构(CA)
选择提供具有您需要的验证级别的SAN证书的信誉良好的CA。寻找包含在所有主要浏览器信任存储中的CA。如果您已经与AlexHost SSL证书一起托管,您可以直接通过您的托管仪表板管理您的证书采购。
步骤2:生成证书签名请求(CSR)
在您的服务器上,生成一个CSR,其中包含您的主要域名作为Common Name。大多数现代服务器软件和控制面板允许您在CSR生成期间指定其他SAN。
openssl req -new -newkey rsa:2048 -nodes
-keyout yourdomain.key
-out yourdomain.csr
-subj "/CN=www.example.com"对于SAN条目,您通常会在openssl.cnf文件中配置它们,或在应用程序过程中直接通过CA的Web门户配置。
步骤3:指定所有SAN域名
在证书应用期间,列出您希望证书覆盖的每个域名和子域名。要彻底——在颁发后添加域名需要证书重新颁发。
步骤4:完成域名验证
对于SAN字段中列出的每个域名,您必须证明所有权。三种标准验证方法是:
- 电子邮件验证:回复发送到域名注册地址的确认电子邮件。
- DNS验证:向域名的DNS区域添加特定的TXT或CNAME记录。
- 基于文件(HTTP)验证:将特定文件上传到Web服务器上的指定路径。
DNS验证通常对SAN证书更可取,因为它可以自动化,不需要Web服务器在验证期间公开访问。
步骤5:在您的服务器上安装证书
CA颁发证书后,将其安装在您的服务器上,并配置每个列出的域名以使用它。在Nginx服务器上,基本配置如下所示:
server {
listen 443 ssl;
server_name www.example.com blog.example.com shop.example.org;
ssl_certificate /etc/ssl/certs/san_certificate.crt;
ssl_certificate_key /etc/ssl/private/san_certificate.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}如果您运行VPS托管环境,您拥有完整的root访问权限,可以根据您的基础设施要求精确配置SSL,而不受共享环境的限制。
管理和续期您的SAN证书
适当的生命周期管理至关重要。单个过期的SAN证书可能同时破坏它覆盖的每个域名的HTTPS——这可能是一个灾难性的中断。
SAN证书管理的最佳实践
- 维护域名清单:保持每个SAN证书覆盖的所有域名的最新列表,包括它们的过期日期。
- 提前设置续期提醒:在过期前至少30天开始续期过程。许多CA现在支持90天证书(如Let’s Encrypt),因此强烈建议自动化。
- 在续期时审计您的SAN列表:使用每次续期作为机会删除已停用的域名并添加新域名。
- 使用ACME客户端自动化:Certbot等工具支持SAN证书,可以通过ACME协议自动化颁发和续期。
- 安装后测试:安装续期的证书后,使用SSL Labs的SSL测试等工具验证所有列出的域名都正确保护。
更新SAN列表
如果您需要在周期中途添加或删除域名,您将需要重新颁发证书(不仅仅是续期)。大多数CA允许在证书有效期内免费重新颁发。该过程与原始应用程序相似——您提交带有更新SAN列表的新CSR,并重新验证任何新添加的域名。
SAN证书的常见用例
SaaS和Web应用程序
SaaS提供商经常使用SAN证书来保护其主应用程序域、API端点、客户门户和营销网站在单个证书下。这简化了部署管道,并确保整个产品套件的一致SSL覆盖。
企业网络
大型公司通常管理内部子域名、合作伙伴门户和面向公众的网站的混合。一个SAN证书——或一组证书——在整个域名组合中提供集中的SSL治理。如果您的组织运行专用服务器,您拥有大规模部署和管理复杂SAN配置所需的基础设施控制。
电子商务平台
拥有地区店面的在线零售商(shop.example.co.uk、shop.example.de、shop.example.fr)可以使用单个SAN证书保护每个店面,确保为全球客户提供一致和受信任的购物体验。
电子邮件基础设施
SAN证书广泛用于保护邮件服务器,在一个证书下覆盖SMTP、IMAP和POP3主机名。如果您依赖电子邮件托管进行业务通信,确保您的邮件服务器的SSL证书配置正确对于安全性和可交付性都至关重要。
开发和暂存环境
管理跨不同子域名的多个环境(生产、暂存、开发)的团队可以使用SAN证书在所有环境中维护HTTPS,而无需每个环境单独证书的开销。
SAN证书和您的托管环境
您使用的托管环境类型直接影响您部署和管理SAN证书的方式。
共享托管:在共享Web托管计划上,SSL管理通常通过托管控制面板处理。检查您的提供商是否支持自定义SAN证书,或仅通过其界面提供单域名和通配符选项。
VPS托管:带有cPanel的VPS既提供托管控制面板的灵活性,又提供在同一服务器上托管的多个域名中安装自定义SAN证书所需的服务器级访问权限。
专用服务器:为了获得最大控制,专用服务器允许您配置Web服务器、负载均衡器和反向代理以完全按照您的架构要求使用SAN证书——包括证书固定和OCSP装订等高级配置。
关于SAN证书的常见问题
SAN证书可以覆盖多少个域名?
这取决于CA和特定产品。大多数商业SAN证书支持5到250个SAN。一些CA为每个域名提供无限SAN添加,需要额外费用。
我可以在一个SAN证书中混合不同的域名类型吗?
是的。单个SAN证书可以包括裸域名、www子域名、其他子域名和跨完全不同TLD的域名。
SAN证书与UCC证书相同吗?
本质上是的。统一通信证书(UCC)是主要在Microsoft Exchange和Office Communications Server上下文中使用的营销术语。从技术上讲,它是针对这些环境优化的SAN证书。
SAN证书会影响SEO吗?
不直接影响。对SEO重要的是HTTPS正确实现且没有混合内容警告。正确安装的SAN证书为它覆盖的每个域名实现这一点,就像单域名证书一样。
我可以将SAN证书与CDN或负载均衡器一起使用吗?
是的。SAN证书与CDN部署和负载均衡器完全兼容。实际上,这是最常见的用例之一——在边缘安装的单个SAN证书覆盖通过CDN路由的所有域名。
结论
SAN证书是保护多域名基础设施最实用和经济有效的工具之一。通过将多个域名整合到单个证书下,您可以降低成本、简化管理,并在整个Web存在中维护强大的SSL/TLS安全——没有任何妥协。
无论您是管理少数域名的初创公司、运行数百个子域名的企业,还是保护复杂应用程序堆栈的SaaS提供商,SAN证书都提供了您的基础设施所需的灵活性和效率。