Alle SSL-Artikel SSL & Zertifikate

Multi-Domain SSL-Zertifikate (SAN)

Ein Multi-Domain SSL-Zertifikat (auch SAN- oder UCC-Zertifikat genannt) sichert mehrere verschiedene Domainnamen mit einem einzigen Zertifikat. Anstatt separate Zertifikate für example.com, example.org und myapp.io zu verwalten, deckt ein SAN-Zertifikat alle ab.

Dies unterscheidet sich von einem Wildcard-Zertifikat, das Subdomains einer einzelnen Domain abdeckt. Ein SAN-Zertifikat kann völlig unterschiedliche Domains abdecken.

Wie SAN-Zertifikate funktionieren

SAN steht für Subject Alternative Name — ein Feld im X.509-Zertifikatsstandard, das zusätzliche Domainnamen auflistet, für die das Zertifikat gültig ist. Wenn Ihr Browser eine Verbindung zu einem Server herstellt, prüft er, ob die angeforderte Domain mit einem SAN-Eintrag übereinstimmt.

So sieht ein Multi-Domain-Zertifikat intern aus:

Certificate for:
  CN: example.com
  SAN: example.com
  SAN: www.example.com
  SAN: example.org
  SAN: api.myapp.io

Alle vier Domains werden durch ein einziges Zertifikat mit einem einzigen privaten Schlüssel gesichert. Der Browser akzeptiert die Verbindung, wenn der angeforderte Hostname mit einem SAN-Eintrag übereinstimmt.

Limits: Let’s Encrypt unterstützt bis zu 100 SAN-Einträge pro Zertifikat. Kommerzielle CAs variieren — einige erlauben 250+, einige berechnen pro Eintrag.

Häufige Anwendungsfälle

Mehrere Markendomains

Sie betreiben brandname.com, brandname.co.uk und brandname.de. Ein SAN-Zertifikat deckt alle drei ab, ohne separate Zertifikate pro Region verwalten zu müssen.

Domain + www-Varianten

Der häufigste SAN-Anwendungsfall: example.com + www.example.com. Die meisten Zertifikate enthalten automatisch beide. GetHTTPS fordert Sie auf, die www-Variante hinzuzufügen, wenn Sie eine Hauptdomain eingeben.

Microservices auf verschiedenen Domains

Ihre API befindet sich unter api.company.com, Ihre Dokumentation unter docs.company.com und Ihre Marketing-Website unter company.com. Ein SAN-Zertifikat sichert alle drei. Wenn es alles Subdomains sind, könnte ein Wildcard einfacher sein.

Migration zwischen Domains

Sie wechseln von olddomain.com zu newdomain.com? Ein SAN-Zertifikat, das beide abdeckt, ermöglicht es Ihnen, während des Übergangs HTTPS auf beiden Domains bereitzustellen, ohne zwei separate Zertifikate zu verwalten.

SAN vs. Wildcard

SAN (Multi-Domain)Wildcard
Deckt abBestimmte aufgelistete DomainsAlle Subdomains einer Domain
Domainübergreifendexample.com + other.com❌ Nur eine Hauptdomain
Neue DomainsErfordert neues ZertifikatNeue Subdomains automatisch abgedeckt
Challenge-TypHTTP-01 oder DNS-01Nur DNS-01
ZertifikatsgrößeWächst mit jedem SAN-EintragFest
AnwendungsfallMehrere verschiedene DomainsViele Subdomains einer Domain
Let’s Encrypt Limit100 Namen pro Zertifikat1 Wildcard pro Zertifikat (mit SAN kombinierbar)

Sie können beides kombinieren: Ein einzelnes Zertifikat kann example.com, *.example.com und other.com als SAN-Einträge enthalten. Dies ist üblich, um die Hauptdomain, alle Subdomains und zusätzliche Domains in einem Zertifikat abzudecken.

Ein Multi-Domain-Zertifikat mit GetHTTPS erhalten

  1. Gehen Sie zu gethttps.com/app/setup
  2. Geben Sie alle Domains ein, die abgedeckt werden sollen: example.com, www.example.com, example.org
  3. Schließen Sie eine Challenge für jede Domain ab — HTTP-01 (eine Datei platzieren) oder DNS-01 (einen TXT-Eintrag hinzufügen)
  4. GetHTTPS prüft jede Challenge vor der Übermittlung an Let’s Encrypt
  5. Laden Sie ein Zertifikat herunter, das alle Domains abdeckt

Jede Domain benötigt ihre eigene Validierung, da Let’s Encrypt überprüfen muss, dass Sie jede einzelne kontrollieren. GetHTTPS verarbeitet sie nacheinander — Sie verifizieren eine, dann die nächste.

Beispiel: 3 Domains, gemischte Challenges

DomainChallenge-TypWas Sie tun
example.comHTTP-01Eine Datei auf dem Server platzieren
www.example.comHTTP-01Derselbe Server, derselbe Vorgang
example.orgDNS-01Einen TXT-Eintrag hinzufügen (anderer DNS-Anbieter)

Nachdem alle drei bestanden haben, erhalten Sie einen Satz Zertifikatsdateien (fullchain.pem, privkey.pem), der alle drei abdeckt.

Ein Multi-Domain-Zertifikat installieren

Die Installation ist identisch mit einem Single-Domain-Zertifikat. Dem Server ist egal, wie viele SANs im Zertifikat stehen — er verwendet dieselben Dateien.

Nginx:

server {
    listen 443 ssl http2;
    server_name example.com www.example.com example.org;

    ssl_certificate     /etc/ssl/fullchain.pem;
    ssl_certificate_key /etc/ssl/privkey.pem;
}

Apache:

<VirtualHost *:443>
    ServerName example.com
    ServerAlias www.example.com example.org

    SSLEngine on
    SSLCertificateFile /etc/ssl/cert.pem
    SSLCertificateKeyFile /etc/ssl/privkey.pem
    SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>

Wenn die Domains auf verschiedene Server verweisen, installieren Sie dieselben Zertifikatsdateien auf jedem Server. Das Zertifikat ist für alle aufgelisteten Domains gültig, unabhängig davon, welcher Server es präsentiert.

Häufig gestellte Fragen

Ist ein SAN-Zertifikat teurer?

Nicht bei Let’s Encrypt. Sie können bis zu 100 Domains in ein einziges kostenloses Zertifikat über GetHTTPS aufnehmen. Einige kommerzielle CAs berechnen 10–50 $ pro zusätzlichem SAN-Eintrag.

Müssen alle Domains auf demselben Server liegen?

Nein. Das Zertifikat funktioniert auf jedem Server. Installieren Sie dieselben fullchain.pem- und privkey.pem-Dateien auf jedem Server, der eine der aufgelisteten Domains bereitstellen muss.

Kann ich einer bestehenden SAN-Zertifikat eine Domain hinzufügen?

Nicht direkt — ein ausgestelltes Zertifikat kann nicht geändert werden. Sie müssen ein neues Zertifikat anfordern, das alle Domains enthält (bestehende + neue). Mit GetHTTPS dauert das nur wenige Minuten.

Wann sollte ich separate Zertifikate verwenden?

Verwenden Sie separate Zertifikate, wenn:

  • Verschiedene Teams verschiedene Domains verwalten (separate Schlüssel = separate Zugriffskontrolle)
  • Unterschiedliche Verlängerungszeitpläne benötigt werden
  • Isolation wichtig ist — die Kompromittierung eines Schlüssels sollte andere Domains nicht betreffen
  • Sie 100 Namen überschreiten — auf mehrere Zertifikate aufteilen

Wie wirkt sich SAN auf die Zertifikatsgröße aus?

Jeder SAN-Eintrag fügt dem Zertifikat ca. 30–50 Bytes hinzu. Bei 100 Einträgen ist das Zertifikat einige KB größer. Dies hat einen vernachlässigbaren Einfluss auf die TLS-Handshake-Geschwindigkeit.

Was ist der Unterschied zwischen SAN und UCC?

UCC (Unified Communications Certificate) ist Microsofts Bezeichnung für Multi-Domain SAN-Zertifikate, die ursprünglich für Exchange und Office Communications Server entwickelt wurden. Technisch sind sie dasselbe — ein Zertifikat mit mehreren SAN-Einträgen.

Verwandte Artikel

SSL & Zertifikate 2026-05-07
Wildcard-SSL-Zertifikate verstehen
Ein Wildcard-Zertifikat (*.example.com) sichert alle Subdomains mit einem einzigen Zertifikat. Erfahren Sie, wie Wildcards funktionieren, welche Einschraenkungen sie haben und wie Sie eines kostenlos erhalten.
Erste Schritte 2026-05-08
Kostenloses SSL-Zertifikat erhalten (Schritt-für-Schritt-Anleitung)
Erhalten Sie ein kostenloses SSL-Zertifikat von Let's Encrypt in 5 Minuten — keine Software-Installation, kein Konto erforderlich. Vollständige Anleitung mit 4 Methoden, beiden Challenge-Typen, Installation auf 6 Plattformen und Fehlerbehebung.
SSL & Zertifikate 2026-05-07
SSL-Zertifikatstypen erklärt: DV, OV und EV
Vergleichen Sie Domain Validation (DV), Organization Validation (OV) und Extended Validation (EV) SSL-Zertifikate. Erfahren Sie die Unterschiede bei Verifizierung, Kosten und wann Sie welchen Typ wirklich brauchen.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten