Відкритий квиток 
+373 79 600002 
Telegram Онлайн-чат 
Часті запитання 
Українська
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
български 
Polski 
Indonesia 
中文 (中国) 
БезпекаЩо таке SAN сертифікат? Повний посібник з Multi-Domain SSL
Захист кількох веб-сайтів, поддоменів і сервісів окремими SSL-сертифікатами швидко стає кошмаром управління. SAN (Subject Alternative Name) сертифікат — також називається мультидоменним SSL-сертифікатом — елегантно вирішує цю проблему, захищаючи десятки різних імен доменів під одним уніфікованим сертифікатом. Незалежно від того, чи ви керуєте платформою SaaS, корпоративною мережею або операцією електронної комерції, що охоплює кілька регіональних доменів, розуміння SAN-сертифікатів є важливим для збереження вашої інфраструктури як безпечною, так і керованою.
Що таке SAN-сертифікат?
SAN-сертифікат — це тип SSL/TLS-сертифіката, який використовує розширення Subject Alternative Name для перелічення кількох імен доменів в одному сертифікаті. Замість того, щоб купувати, встановлювати та поновлювати окремі сертифікати для кожного домену, який ви володієте, SAN-сертифікат консолідує всі їх в один.
Наприклад, один SAN-сертифікат може одночасно захищати:
www.example.commail.example.comshop.example.orgapp.example.netsecure.example.io
Ця можливість робить SAN-сертифікати основним рішенням для великих організацій, постачальників SaaS та будь-якого бізнесу, який керує більш ніж однією веб-властивістю.
Як працюють SAN-сертифікати?
Кожен SSL/TLS-сертифікат містить структуровані поля даних, які визначають, які домени він уповноважений захищати. У стандартному однодоменному сертифікаті використовується лише поле Common Name (CN). SAN-сертифікат розширює це, заповнюючи розширення Subject Alternative Names списком кожного домену, який сертифікат повинен охоплювати.
Коли браузер або сервер ініціює HTTPS-з’єднання, він перевіряє, чи запитуваний домен відповідає Common Name або будь-якому з SAN, перерахованих у сертифікаті. Якщо знайдено збіг, з’єднання перевіряється і з’являється значок замка. Якщо ні, браузер відображає попередження про безпеку.
Приклад структури SAN-сертифіката
| Поле | Значення |
|---|---|
| Common Name (CN) | www.example.com |
| SAN запис 1 | blog.example.com |
| SAN запис 2 | shop.example.org |
| SAN запис 3 | secure.example.net |
| SAN запис 4 | app.example.io |
Ця архітектура означає, що додавання або оновлення охоплених доменів обробляється на рівні сертифіката — ви просто перевидаєте сертифікат з оновленим списком SAN, а не підготовлюєте абсолютно новий сертифікат з нуля.
Ключові переваги використання SAN-сертифіката
1. Значна економія витрат
Покупка окремих SSL-сертифікатів для кожного домену, яким ви керуєте, дорога. Один SAN-сертифікат охоплює кілька доменів за частину від комбінованої вартості, що робить його фінансово розумним вибором для растучих бізнесів.
2. Спрощене управління сертифікатами
Замість відстеження дат поновлення, статусів перевірки та процедур встановлення для десятків окремих сертифікатів, ви керуєте лише одним. Це драматично зменшує адміністративні витрати та ризик того, що сертифікат закінчиться непомітно — що може взяти ваш сайт в автономний режим і знищити довіру користувачів за ніч.
3. Без компромісу в безпеці
SAN-сертифікати використовують ті ж надійні стандарти шифрування (RSA або ECDSA ключі, SHA-256 хешування), що й однодоменні сертифікати. Консолідація доменів під одним сертифікатом не послаблює позицію безпеки будь-якого окремого домену.
4. Широка сумісність серверів і клієнтів
SAN-сертифікати підтримуються практично всіма сучасними веб-серверами (Apache, Nginx, IIS, LiteSpeed), поштовими серверами та браузерами клієнтів. Вони є галузевим стандартним підходом для мультидоменних розгортань.
5. Гнучкість у межах TLD
На відміну від підстановочних сертифікатів, які обмежені поддоменами одного домену, SAN-сертифікати можуть одночасно захищати абсолютно різні імена доменів у різних доменах верхнього рівня (.com, .net, .org, .io, тощо).
Типи SAN-сертифікатів
Не всі SAN-сертифікати однакові. Розуміння доступних типів допомагає вам вибрати правильний рівень перевірки та охоплення для вашого конкретного випадку використання.
Мультидоменний SSL-сертифікат (DV або OV)
Найпоширеніший тип. Захищає кілька повністю кваліфікованих імен доменів у різних TLD. Доступний з Domain Validation (DV) для швидкого видання або Organization Validation (OV) для додаткових сигналів довіри.
- Найкраще для: Бізнесу, який керує кількома окремими веб-сайтами або веб-додатками.
Підстановочний SAN-сертифікат
Поєднує підстановочне охоплення (*.example.com) з мультидоменною підтримкою. Один сертифікат може одночасно охоплювати всі поддомени кількох базових доменів.
- Найкраще для: Організацій з великою кількістю поддоменів, розподілених у кількох кореневих доменах.
EV (Extended Validation) SAN-сертифікат
Забезпечує найвищий доступний рівень перевірки ідентичності. Центр сертифікації ретельно перевіряє організацію перед видачею. Усі перелічені домени отримують користь від статусу розширеної перевірки.
- Найкраще для: Фінансових установ, корпоративних порталів та платформ електронної комерції, де максимальна довіра користувачів критична.
SAN-сертифікати проти підстановочних сертифікатів: ключові відмінності
Поширеною точкою плутанини є вибір SAN-сертифіката замість підстановочного сертифіката. Ось пряме порівняння:
| Функція | SAN-сертифікат | Підстановочний сертифікат |
|---|---|---|
| Охоплює кілька кореневих доменів | ✅ Так | ❌ Ні |
| Охоплює необмежені поддомени | ❌ Ні (кожен SAN перелічений) | ✅ Так (один рівень глибини) |
| Підтримує різні TLD | ✅ Так | ❌ Ні |
| Доступна EV перевірка | ✅ Так | ❌ Ні |
| Найкраще для | Різноманітні портфелі доменів | Один домен, багато поддоменів |
У багатьох реальних розгортаннях адміністратори використовують підстановочний SAN-сертифікат, щоб отримати переваги обох підходів.
Як отримати SAN-сертифікат: крок за кроком
Крок 1: Виберіть надійний центр сертифікації (CA)
Виберіть авторитетний CA, який пропонує SAN-сертифікати з рівнем перевірки, який вам потрібен. Шукайте CA, які включені в усі основні сховища довіри браузерів. Якщо ви вже розміщуєтесь у AlexHost SSL Certificates, ви можете керувати закупівлею сертифіката безпосередньо через панель керування хостингом.
Крок 2: Створіть запит на підпис сертифіката (CSR)
На вашому сервері створіть CSR, який включає ваш основний домен як Common Name. Більшість сучасного серверного програмного забезпечення та контрольних панелей дозволяють вказувати додаткові SAN під час генерування CSR.
openssl req -new -newkey rsa:2048 -nodes
-keyout yourdomain.key
-out yourdomain.csr
-subj "/CN=www.example.com"Для записів SAN ви зазвичай налаштовуєте їх у своєму файлі openssl.cnf або безпосередньо через веб-портал вашого CA під час процесу подання заявки.
Крок 3: Вкажіть усі домени SAN
Під час подання заявки на сертифікат перелічіть кожен домен і піддомен, який ви хочете, щоб сертифікат охоплював. Будьте ретельні — додавання доменів після видачі вимагає перевидання сертифіката.
Крок 4: Завершіть перевірку домену
Для кожного домену, перерахованого в полях SAN, ви повинні довести право власності. Три стандартні методи перевірки:
- Перевірка електронної пошти: Відповідьте на електронний лист підтвердження, надісланий на зареєстровану адресу для домену.
- Перевірка DNS: Додайте конкретний запис TXT або CNAME до зони DNS домену.
- Перевірка на основі файлу (HTTP): Завантажте конкретний файл у визначену папку на веб-сервері.
Перевірка DNS зазвичай є кращою для SAN-сертифікатів, оскільки вона може бути автоматизована і не вимагає, щоб веб-сервер був загальнодоступним під час перевірки.
Крок 5: Встановіть сертифікат на вашому сервері
Після того, як CA видасть сертифікат, встановіть його на вашому сервері та налаштуйте кожен перелічений домен для його використання. На сервері Nginx базова конфігурація виглядає так:
server {
listen 443 ssl;
server_name www.example.com blog.example.com shop.example.org;
ssl_certificate /etc/ssl/certs/san_certificate.crt;
ssl_certificate_key /etc/ssl/private/san_certificate.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}Якщо ви керуєте середовищем VPS Hosting, у вас є повний root-доступ для налаштування SSL точно так, як вимагає ваша інфраструктура, без обмежень спільних середовищ.
Управління та поновлення вашого SAN-сертифіката
Правильне управління життєвим циклом критично важливе. Один закінчений SAN-сертифікат може одночасно порушити HTTPS для кожного домену, який він охоплює — потенційно катастрофічний збій.
Найкращі практики управління SAN-сертифікатами
- Ведіть інвентар доменів: Зберігайте актуальний список усіх доменів, охоплених кожним SAN-сертифікатом, включаючи дати їх закінчення.
- Встановіть нагадування про поновлення рано: Почніть процес поновлення щонайменше за 30 днів до закінчення. Багато CA тепер підтримують 90-денні сертифікати (як Let’s Encrypt), тому автоматизація настійно рекомендується.
- Перевірте список SAN під час поновлення: Використовуйте кожне поновлення як можливість видалити виведені з експлуатації домени та додати нові.
- Автоматизуйте за допомогою ACME-клієнтів: Інструменти, такі як Certbot, підтримують SAN-сертифікати та можуть автоматизувати як видачу, так і поновлення через протокол ACME.
- Протестуйте після встановлення: Після встановлення оновленого сертифіката використовуйте інструменти, такі як SSL Test від SSL Labs, щоб перевірити, що всі перелічені домени правильно захищені.
Оновлення списку SAN
Якщо вам потрібно додати або видалити домени в середині циклу, вам потрібно перевидати сертифікат (а не просто його поновити). Більшість CA дозволяють безкоштовне перевидання протягом періоду дійсності сертифіката. Процес відповідає оригінальній заявці — ви подаєте новий CSR з оновленим списком SAN і повторно перевіряєте будь-які новодобавлені домени.
Поширені випадки використання SAN-сертифікатів
SaaS та веб-додатки
Постачальники SaaS часто використовують SAN-сертифікати для захисту основного домену додатків, кінцевих точок API, портальів клієнтів та маркетингових сайтів під одним сертифікатом. Це спрощує конвеєри розгортання та забезпечує послідовне покриття SSL у всьому наборі продуктів.
Корпоративні мережі
Великі корпорації часто керують комбінацією внутрішніх поддоменів, партнерських порталів та громадських веб-сайтів. SAN-сертифікат — або набір їх — забезпечує централізоване управління SSL у всьому портфелі доменів. Якщо ваша організація керує Dedicated Servers, у вас є контроль інфраструктури, необхідний для розгортання та управління складними конфігураціями SAN у масштабі.
Платформи електронної комерції
Інтернет-продавці з регіональними магазинами (shop.example.co.uk, shop.example.de, shop.example.fr) можуть захистити кожен магазин одним SAN-сертифікатом, забезпечуючи послідовний та надійний досвід покупок для клієнтів у всьому світі.
Поштова інфраструктура
SAN-сертифікати широко використовуються для захисту поштових серверів, охоплюючи імена хостів SMTP, IMAP та POP3 під одним сертифікатом. Якщо ви покладаєтесь на Email Hosting для ділових комунікацій, забезпечення правильної конфігурації SSL-сертифіката вашого поштового сервера є важливим як для безпеки, так і для доставляємості.
Середовища розробки та проміжного тестування
Команди, які керують кількома середовищами (виробництво, проміжне тестування, розробка) у різних поддоменах, можуть використовувати SAN-сертифікат для підтримки HTTPS у всіх середовищах без накладних витр