Ein Multi-Domain SSL-Zertifikat (auch SAN- oder UCC-Zertifikat genannt) sichert mehrere verschiedene Domainnamen mit einem einzigen Zertifikat. Anstatt separate Zertifikate für example.com, example.org und myapp.io zu verwalten, deckt ein SAN-Zertifikat alle ab.
Dies unterscheidet sich von einem Wildcard-Zertifikat, das Subdomains einer einzelnen Domain abdeckt. Ein SAN-Zertifikat kann völlig unterschiedliche Domains abdecken.
Wie SAN-Zertifikate funktionieren
SAN steht für Subject Alternative Name — ein Feld im X.509-Zertifikatsstandard, das zusätzliche Domainnamen auflistet, für die das Zertifikat gültig ist. Wenn Ihr Browser eine Verbindung zu einem Server herstellt, prüft er, ob die angeforderte Domain mit einem SAN-Eintrag übereinstimmt.
So sieht ein Multi-Domain-Zertifikat intern aus:
Certificate for:
CN: example.com
SAN: example.com
SAN: www.example.com
SAN: example.org
SAN: api.myapp.io
Alle vier Domains werden durch ein einziges Zertifikat mit einem einzigen privaten Schlüssel gesichert. Der Browser akzeptiert die Verbindung, wenn der angeforderte Hostname mit einem SAN-Eintrag übereinstimmt.
Limits: Let’s Encrypt unterstützt bis zu 100 SAN-Einträge pro Zertifikat. Kommerzielle CAs variieren — einige erlauben 250+, einige berechnen pro Eintrag.
Häufige Anwendungsfälle
Mehrere Markendomains
Sie betreiben brandname.com, brandname.co.uk und brandname.de. Ein SAN-Zertifikat deckt alle drei ab, ohne separate Zertifikate pro Region verwalten zu müssen.
Domain + www-Varianten
Der häufigste SAN-Anwendungsfall: example.com + www.example.com. Die meisten Zertifikate enthalten automatisch beide. GetHTTPS fordert Sie auf, die www-Variante hinzuzufügen, wenn Sie eine Hauptdomain eingeben.
Microservices auf verschiedenen Domains
Ihre API befindet sich unter api.company.com, Ihre Dokumentation unter docs.company.com und Ihre Marketing-Website unter company.com. Ein SAN-Zertifikat sichert alle drei. Wenn es alles Subdomains sind, könnte ein Wildcard einfacher sein.
Migration zwischen Domains
Sie wechseln von olddomain.com zu newdomain.com? Ein SAN-Zertifikat, das beide abdeckt, ermöglicht es Ihnen, während des Übergangs HTTPS auf beiden Domains bereitzustellen, ohne zwei separate Zertifikate zu verwalten.
SAN vs. Wildcard
| SAN (Multi-Domain) | Wildcard | |
|---|---|---|
| Deckt ab | Bestimmte aufgelistete Domains | Alle Subdomains einer Domain |
| Domainübergreifend | ✅ example.com + other.com | ❌ Nur eine Hauptdomain |
| Neue Domains | Erfordert neues Zertifikat | Neue Subdomains automatisch abgedeckt |
| Challenge-Typ | HTTP-01 oder DNS-01 | Nur DNS-01 |
| Zertifikatsgröße | Wächst mit jedem SAN-Eintrag | Fest |
| Anwendungsfall | Mehrere verschiedene Domains | Viele Subdomains einer Domain |
| Let’s Encrypt Limit | 100 Namen pro Zertifikat | 1 Wildcard pro Zertifikat (mit SAN kombinierbar) |
Sie können beides kombinieren: Ein einzelnes Zertifikat kann example.com, *.example.com und other.com als SAN-Einträge enthalten. Dies ist üblich, um die Hauptdomain, alle Subdomains und zusätzliche Domains in einem Zertifikat abzudecken.
Ein Multi-Domain-Zertifikat mit GetHTTPS erhalten
- Gehen Sie zu gethttps.com/app/setup
- Geben Sie alle Domains ein, die abgedeckt werden sollen:
example.com,www.example.com,example.org - Schließen Sie eine Challenge für jede Domain ab — HTTP-01 (eine Datei platzieren) oder DNS-01 (einen TXT-Eintrag hinzufügen)
- GetHTTPS prüft jede Challenge vor der Übermittlung an Let’s Encrypt
- Laden Sie ein Zertifikat herunter, das alle Domains abdeckt
Jede Domain benötigt ihre eigene Validierung, da Let’s Encrypt überprüfen muss, dass Sie jede einzelne kontrollieren. GetHTTPS verarbeitet sie nacheinander — Sie verifizieren eine, dann die nächste.
Beispiel: 3 Domains, gemischte Challenges
| Domain | Challenge-Typ | Was Sie tun |
|---|---|---|
example.com | HTTP-01 | Eine Datei auf dem Server platzieren |
www.example.com | HTTP-01 | Derselbe Server, derselbe Vorgang |
example.org | DNS-01 | Einen TXT-Eintrag hinzufügen (anderer DNS-Anbieter) |
Nachdem alle drei bestanden haben, erhalten Sie einen Satz Zertifikatsdateien (fullchain.pem, privkey.pem), der alle drei abdeckt.
Ein Multi-Domain-Zertifikat installieren
Die Installation ist identisch mit einem Single-Domain-Zertifikat. Dem Server ist egal, wie viele SANs im Zertifikat stehen — er verwendet dieselben Dateien.
Nginx:
server {
listen 443 ssl http2;
server_name example.com www.example.com example.org;
ssl_certificate /etc/ssl/fullchain.pem;
ssl_certificate_key /etc/ssl/privkey.pem;
}
Apache:
<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com example.org
SSLEngine on
SSLCertificateFile /etc/ssl/cert.pem
SSLCertificateKeyFile /etc/ssl/privkey.pem
SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>
Wenn die Domains auf verschiedene Server verweisen, installieren Sie dieselben Zertifikatsdateien auf jedem Server. Das Zertifikat ist für alle aufgelisteten Domains gültig, unabhängig davon, welcher Server es präsentiert.
Häufig gestellte Fragen
Ist ein SAN-Zertifikat teurer?
Nicht bei Let’s Encrypt. Sie können bis zu 100 Domains in ein einziges kostenloses Zertifikat über GetHTTPS aufnehmen. Einige kommerzielle CAs berechnen 10–50 $ pro zusätzlichem SAN-Eintrag.
Müssen alle Domains auf demselben Server liegen?
Nein. Das Zertifikat funktioniert auf jedem Server. Installieren Sie dieselben fullchain.pem- und privkey.pem-Dateien auf jedem Server, der eine der aufgelisteten Domains bereitstellen muss.
Kann ich einer bestehenden SAN-Zertifikat eine Domain hinzufügen?
Nicht direkt — ein ausgestelltes Zertifikat kann nicht geändert werden. Sie müssen ein neues Zertifikat anfordern, das alle Domains enthält (bestehende + neue). Mit GetHTTPS dauert das nur wenige Minuten.
Wann sollte ich separate Zertifikate verwenden?
Verwenden Sie separate Zertifikate, wenn:
- Verschiedene Teams verschiedene Domains verwalten (separate Schlüssel = separate Zugriffskontrolle)
- Unterschiedliche Verlängerungszeitpläne benötigt werden
- Isolation wichtig ist — die Kompromittierung eines Schlüssels sollte andere Domains nicht betreffen
- Sie 100 Namen überschreiten — auf mehrere Zertifikate aufteilen
Wie wirkt sich SAN auf die Zertifikatsgröße aus?
Jeder SAN-Eintrag fügt dem Zertifikat ca. 30–50 Bytes hinzu. Bei 100 Einträgen ist das Zertifikat einige KB größer. Dies hat einen vernachlässigbaren Einfluss auf die TLS-Handshake-Geschwindigkeit.
Was ist der Unterschied zwischen SAN und UCC?
UCC (Unified Communications Certificate) ist Microsofts Bezeichnung für Multi-Domain SAN-Zertifikate, die ursprünglich für Exchange und Office Communications Server entwickelt wurden. Technisch sind sie dasselbe — ein Zertifikat mit mehreren SAN-Einträgen.