Sie brauchen HTTPS für eine Subdomain (blog.example.com, api.example.com, staging.example.com). Drei Optionen:
Option 1: Wildcard-Zertifikat (*.example.com)
Ein Zertifikat deckt alle Subdomains automatisch ab — einschließlich zukünftig erstellter.
| Vorteile | Nachteile |
|---|---|
| Deckt unbegrenzt viele Subdomains ab | Erfordert DNS-01 Challenge (DNS-Zugang nötig) |
| Neue Subdomains funktionieren sofort | Ein privater Schlüssel für alle Subdomains (geteiltes Risiko) |
| Nur 1 Zertifikat zu verwalten | Deckt keine verschachtelten Subdomains ab (a.b.example.com) |
| Kostenlos von Let’s Encrypt | Deckt nicht die Basisdomain ab (example.com separat hinzufügen) |
Am besten geeignet für: Viele Subdomains, häufig neue hinzufügen.
*.example.com deckt ab:
✅ www.example.com
✅ blog.example.com
✅ api.example.com
✅ staging.example.com
✅ anything.example.com
❌ example.com (separat hinzufügen)
❌ sub.blog.example.com (verschachtelt)
Wie Sie ein Wildcard-Zertifikat erhalten →
Option 2: SAN-Zertifikat (bestimmte Subdomains auflisten)
Listen Sie jede Subdomain explizit im Subject Alternative Name-Feld des Zertifikats auf.
| Vorteile | Nachteile |
|---|---|
| Kann HTTP-01 Challenge verwenden (einfacher) | Jede Subdomain muss explizit aufgelistet werden |
| Kann verschiedene Basisdomains mischen | Hinzufügen einer Subdomain erfordert ein neues Zertifikat |
| Jeder Name wird einzeln validiert | Let’s Encrypt Limit: 100 Namen pro Zertifikat |
| Kostenlos von Let’s Encrypt | Mehr Verwaltungsaufwand bei häufigen Subdomain-Änderungen |
Am besten geeignet für: Kleine, feste Gruppe von Subdomains (2-5).
SAN-Zertifikat deckt genau das ab, was Sie auflisten:
✅ example.com
✅ www.example.com
✅ blog.example.com
❌ api.example.com (wenn nicht aufgelistet)
In GetHTTPS geben Sie einfach alle benötigten Subdomains ein.
Option 3: Separates Zertifikat pro Subdomain
Jede Subdomain bekommt ihr eigenes Zertifikat.
| Vorteile | Nachteile |
|---|---|
| Maximale Isolation (separate Schlüssel) | Höchster Verwaltungsaufwand |
| Unabhängige Erneuerungszeitpläne | Ein Zertifikat pro Subdomain zu verfolgen |
| Kompromittierung eines betrifft nicht die anderen | Mehr Serverkonfiguration |
| Funktioniert mit HTTP-01 pro Subdomain |
Am besten geeignet für: Subdomains, die von verschiedenen Teams verwaltet werden, oder wenn Sicherheitsisolation wichtig ist.
Vergleichstabelle
| Wildcard | SAN | Separat | |
|---|---|---|---|
| Abgedeckte Subdomains | Alle (unbegrenzt) | Nur aufgelistete | Eine pro Zertifikat |
| Neue Subdomains | Automatisch | Neuausstellung nötig | Neues Zertifikat nötig |
| Challenge-Typ | Nur DNS-01 | HTTP-01 oder DNS-01 | HTTP-01 oder DNS-01 |
| Zu verwaltende Zertifikate | 1 | 1 | N |
| Sicherheitsisolation | Geteilter Schlüssel | Geteilter Schlüssel | Isolierte Schlüssel |
| Kosten (Let’s Encrypt) | Kostenlos | Kostenlos | Kostenlos |
| Am besten für | Dynamische Subdomains | Feste Gruppe (2-5) | Team-Isolation |
Häufige Szenarien
”Ich habe example.com und www.example.com”
→ SAN-Zertifikat (am einfachsten). In GetHTTPS beide Namen eingeben. Dies ist die häufigste Konfiguration.
”Ich betreibe www, blog, api, docs, staging Subdomains”
→ Wildcard (*.example.com + example.com). Deckt alle aktuellen und zukünftigen Subdomains ab.
”Jede Subdomain ist die Website eines anderen Kunden”
→ Separate Zertifikate. Jeder Kunde verwaltet sein eigenes. Die Kompromittierung eines betrifft nicht die anderen.
”Ich habe example.com + example.org + Subdomains”
→ SAN-Zertifikat mit einer Kombination aus Domains + Wildcard: example.com, *.example.com, example.org. GetHTTPS unterstützt dies.
Häufig gestellte Fragen
Deckt *.example.com auch example.com selbst ab?
Nein. Die Basisdomain muss separat aufgelistet werden. In GetHTTPS fügen Sie sowohl *.example.com als auch example.com hinzu. Details →
Kann ich Wildcard und bestimmte Domains in einem Zertifikat mischen?
Ja. Ein einzelnes Let’s Encrypt-Zertifikat kann *.example.com, example.com und other.com als SAN-Einträge enthalten. Bis zu 100 Namen pro Zertifikat.
Welche Option ist am günstigsten?
Alle drei sind kostenlos mit Let’s Encrypt über GetHTTPS. Einige kommerzielle CAs verlangen Aufpreis für Wildcards (200-500 $/Jahr) und pro SAN (10-50 $ pro Stück). Mit Let’s Encrypt sind Kosten nie ein Faktor.
Meine Subdomain ist auf einem anderen Server. Kann ich dasselbe Zertifikat verwenden?
Ja. Installieren Sie dieselben fullchain.pem und privkey.pem auf beiden Servern. Das Zertifikat weiß nicht, auf welchem Server es sich befindet — es validiert nur den Domainnamen.