Открыть тикет 
+373 79 600002 
Телеграм-чат в реальном времени 
Часто задаваемые вопросы 
Русский
English 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
БезопасностьЧто такое SAN-сертификат? Полное руководство по многодоменному SSL
Защита нескольких веб-сайтов, поддоменов и сервисов отдельными SSL-сертификатами быстро становится кошмаром управления. Сертификат SAN (Subject Alternative Name) — также называемый многодоменным SSL-сертификатом — элегантно решает эту проблему, защищая десятки различных доменных имен под одним единым сертификатом. Независимо от того, управляете ли вы платформой SaaS, корпоративной сетью или операцией электронной коммерции, охватывающей несколько региональных доменов, понимание SAN-сертификатов необходимо для обеспечения безопасности и управляемости вашей инфраструктуры.
Что такое SAN-сертификат?
SAN-сертификат — это тип SSL/TLS-сертификата, который использует расширение Subject Alternative Name для перечисления нескольких доменных имен в одном сертификате. Вместо покупки, установки и обновления отдельных сертификатов для каждого вашего домена, SAN-сертификат объединяет все их в один.
Например, один SAN-сертификат может одновременно защищать:
www.example.commail.example.comshop.example.orgapp.example.netsecure.example.io
Эта возможность делает SAN-сертификаты решением первого выбора для крупных организаций, поставщиков SaaS и любого бизнеса, управляющего более чем одним веб-ресурсом.
Как работают SAN-сертификаты?
Каждый SSL/TLS-сертификат содержит структурированные поля данных, которые определяют, какие домены он авторизован защищать. В стандартном однодоменном сертификате используется только поле Common Name (CN). SAN-сертификат расширяет это, заполняя расширение Subject Alternative Names списком каждого домена, который должен быть защищен сертификатом.
Когда браузер или сервер инициирует HTTPS-соединение, он проверяет, соответствует ли запрашиваемый домен либо Common Name, либо любому из SAN, указанных в сертификате. Если совпадение найдено, соединение проверяется и появляется значок замка. Если нет, браузер отображает предупреждение безопасности.
Пример структуры SAN-сертификата
| Поле | Значение |
|---|---|
| Common Name (CN) | www.example.com |
| SAN Entry 1 | blog.example.com |
| SAN Entry 2 | shop.example.org |
| SAN Entry 3 | secure.example.net |
| SAN Entry 4 | app.example.io |
Эта архитектура означает, что добавление или обновление защищаемых доменов обрабатывается на уровне сертификата — вы просто переиздаете сертификат с обновленным списком SAN, а не создаете совершенно новый сертификат с нуля.
Ключевые преимущества использования SAN-сертификата
1. Значительная экономия затрат
Покупка отдельных SSL-сертификатов для каждого управляемого домена дорогостояща. Один SAN-сертификат защищает несколько доменов за долю от объединенной стоимости, что делает его финансово разумным выбором для растущих бизнесов.
2. Упрощенное управление сертификатами
Вместо отслеживания дат обновления, статусов проверки и процедур установки для десятков отдельных сертификатов, вы управляете только одним. Это резко снижает административные расходы и риск того, что сертификат истечет незамеченным — что может отключить ваш сайт и разрушить доверие пользователей в одночасье.
3. Без компромиссов в безопасности
SAN-сертификаты используют те же надежные стандарты шифрования (ключи RSA или ECDSA, хеширование SHA-256), что и однодоменные сертификаты. Объединение доменов под одним сертификатом не ослабляет позицию безопасности ни одного отдельного домена.
4. Широкая совместимость серверов и клиентов
SAN-сертификаты поддерживаются практически всеми современными веб-серверами (Apache, Nginx, IIS, LiteSpeed), почтовыми серверами и браузерами клиентов. Это стандартный подход в отрасли для развертываний с несколькими доменами.
5. Гибкость в различных TLD
В отличие от подстановочных сертификатов, которые ограничены поддоменами одного домена, SAN-сертификаты могут защищать совершенно разные доменные имена в разных доменах верхнего уровня (.com, .net, .org, .io, и т. д.) одновременно.
Типы SAN-сертификатов
Не все SAN-сертификаты одинаковы. Понимание доступных типов помогает выбрать правильный уровень проверки и покрытия для вашего конкретного случая использования.
Многодоменный SSL-сертификат (DV или OV)
Наиболее распространенный тип. Защищает несколько полных доменных имен в разных TLD. Доступен с Domain Validation (DV) для быстрого выпуска или Organization Validation (OV) для дополнительных сигналов доверия.
- Лучше всего для: Бизнесов, управляющих несколькими отдельными веб-сайтами или веб-приложениями.
Подстановочный SAN-сертификат
Объединяет подстановочное покрытие (*.example.com) с поддержкой нескольких доменов. Один сертификат может одновременно защищать все поддомены нескольких базовых доменов.
- Лучше всего для: Организаций с большим количеством поддоменов, распределенных по нескольким корневым доменам.
EV (Extended Validation) SAN-сертификат
Обеспечивает наивысший доступный уровень проверки личности. Центр сертификации тщательно проверяет организацию перед выпуском. Все указанные домены получают статус расширенной проверки.
- Лучше всего для: Финансовых учреждений, корпоративных порталов и платформ электронной коммерции, где критически важно максимальное доверие пользователей.
SAN-сертификаты против подстановочных сертификатов: ключевые различия
Частой точкой путаницы является выбор между SAN-сертификатом и подстановочным сертификатом. Вот прямое сравнение:
| Функция | SAN-сертификат | Подстановочный сертификат |
|---|---|---|
| Защищает несколько корневых доменов | ✅ Да | ❌ Нет |
| Защищает неограниченные поддомены | ❌ Нет (каждый SAN указан) | ✅ Да (один уровень глубины) |
| Поддерживает разные TLD | ✅ Да | ❌ Нет |
| Доступна EV-проверка | ✅ Да | ❌ Нет |
| Лучше всего для | Разнообразные портфели доменов | Один домен, много поддоменов |
Во многих реальных развертываниях администраторы используют подстановочный SAN-сертификат для получения преимуществ обоих подходов.
Как получить SAN-сертификат: пошаговое руководство
Шаг 1: Выберите надежный центр сертификации (CA)
Выберите авторитетный CA, который предлагает SAN-сертификаты с нужным вам уровнем проверки. Ищите CA, которые включены во все основные хранилища доверия браузеров. Если вы уже размещаетесь на AlexHost SSL Certificates, вы можете управлять закупкой сертификатов непосредственно через панель управления хостингом.
Шаг 2: Создайте запрос на подпись сертификата (CSR)
На вашем сервере создайте CSR, который включает ваш основной домен как Common Name. Большинство современного серверного программного обеспечения и панелей управления позволяют указать дополнительные SAN во время создания CSR.
openssl req -new -newkey rsa:2048 -nodes
-keyout yourdomain.key
-out yourdomain.csr
-subj "/CN=www.example.com"Для записей SAN вы обычно будете их настраивать в файле openssl.cnf или непосредственно через веб-портал вашего CA во время процесса подачи заявки.
Шаг 3: Укажите все SAN-домены
Во время подачи заявки на сертификат перечислите каждый домен и поддомен, который вы хотите защитить сертификатом. Будьте тщательны — добавление доменов после выпуска требует переиздания сертификата.
Шаг 4: Завершите проверку домена
Для каждого домена, указанного в полях SAN, вы должны доказать право собственности. Три стандартных метода проверки:
- Проверка по электронной почте: Ответьте на письмо подтверждения, отправленное на зарегистрированный адрес домена.
- Проверка DNS: Добавьте определенную запись TXT или CNAME в зону DNS домена.
- Проверка на основе файла (HTTP): Загрузите определенный файл в указанный путь на веб-сервере.
Проверка DNS обычно предпочтительна для SAN-сертификатов, так как она может быть автоматизирована и не требует, чтобы веб-сервер был общедоступен во время проверки.
Шаг 5: Установите сертификат на ваш сервер
После выпуска сертификата CA установите его на ваш сервер и настройте каждый указанный домен для его использования. На сервере Nginx базовая конфигурация выглядит так:
server {
listen 443 ssl;
server_name www.example.com blog.example.com shop.example.org;
ssl_certificate /etc/ssl/certs/san_certificate.crt;
ssl_certificate_key /etc/ssl/private/san_certificate.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}Если вы работаете в среде VPS Hosting, у вас есть полный доступ root для настройки SSL точно так, как требует ваша инфраструктура, без ограничений общих сред.
Управление и обновление вашего SAN-сертификата
Надлежащее управление жизненным циклом критично. Один истекший SAN-сертификат может одновременно нарушить HTTPS для каждого домена, который он защищает — потенциально катастрофический сбой.
Лучшие практики управления SAN-сертификатами
- Ведите инвентарь доменов: Держите актуальный список всех доменов, защищаемых каждым SAN-сертификатом, включая даты их истечения.
- Установите напоминания об обновлении заранее: Начните процесс обновления как минимум за 30 дней до истечения. Многие CA теперь поддерживают 90-дневные сертификаты (как Let’s Encrypt), поэтому автоматизация настоятельно рекомендуется.
- Проверьте ваш список SAN при обновлении: Используйте каждое обновление как возможность удалить выведенные из эксплуатации домены и добавить новые.
- Автоматизируйте с помощью ACME-клиентов: Инструменты, такие как Certbot, поддерживают SAN-сертификаты и могут автоматизировать как выпуск, так и обновление через протокол ACME.
- Протестируйте после установки: После установки обновленного сертификата используйте инструменты, такие как SSL Test от SSL Labs, чтобы проверить, что все указанные домены правильно защищены.
Обновление списка SAN
Если вам нужно добавить или удалить домены в середине цикла, вам потребуется переиздать сертификат (не просто обновить его). Большинство CA позволяют бесплатное переиздание в течение периода действия сертификата. Процесс отражает исходную заявку — вы отправляете новый CSR с обновленным списком SAN и повторно проверяете любые вновь добавленные домены.
Распространенные случаи использования SAN-сертификатов
SaaS и веб-приложения
Поставщики SaaS часто используют SAN-сертификаты для защиты своего основного домена приложения, конечных точек API, портальов клиентов и маркетинговых сайтов под одним сертификатом. Это упрощает конвейеры развертывания и обеспечивает согласованное покрытие SSL во всем наборе продуктов.
Корпоративные сети
Крупные корпорации часто управляют смесью внутренних поддоменов, партнерских порталов и общедоступных веб-сайтов. SAN-сертификат — или набор из них — обеспечивает централизованное управление SSL во всем портфеле доменов. Если ваша организация работает на Dedicated Servers, у вас есть контроль инфраструктуры, необходимый для развертывания и управления сложными конфигурациями SAN в масштабе.
Платформы электронной коммерции
Интернет-магазины с региональными витринами (shop.example.co.uk, shop.example.de, shop.example.fr) могут защитить каждую витрину одним SAN-сертификатом, обеспечивая согласованный и надежный опыт покупок для клиентов по всему миру.
Почтовая инфраструктура
SAN-сертификаты широко используются для защиты почтовых серверов, охватывая имена хостов SMTP, IMAP и POP3 под одним сертификатом. Если вы полагаетесь на Email Hosting для деловых коммуникаций, обеспечение правильной конфигурации SSL-сертификата вашего почтового сервера необходимо как для безопасности, так и для доставляемости.
Среды разработки и промежуточного хранения
Команды, управляющие несколькими средами (производство, промежуточное хранилище, разработка) в разных поддоменах, могут использовать SAN-сертификат для поддержания HTTPS во всех средах без накладных расходов на отдельные сертификаты для каждой среды.
SAN-сертификаты и ваша среда хостинга
Тип используемой вами среды хостинга напрямую влияет на то, как вы развертываете и управляете SAN-сертификатами.
Общий хостинг: На планах Shared Web Hosting управление SSL обычно осуществляется через панель управления хостингом. Проверьте, поддерживает ли ваш провайдер пользовательские SAN-сертификаты или предлагает только однодоменные и подстановочные опции через их интерфейс.