멀티 도메인 SSL 인증서(SAN 또는 UCC 인증서라고도 함)는 하나의 인증서로 여러 다른 도메인 이름을 보호합니다. example.com, example.org, myapp.io에 대해 별도의 인증서를 관리하는 대신, 하나의 SAN 인증서가 이 모두를 포함합니다.
이것은 하나의 도메인의 서브도메인을 보호하는 와일드카드 인증서와 다릅니다. SAN 인증서는 완전히 다른 도메인을 포함할 수 있습니다.
SAN 인증서의 작동 원리
SAN은 Subject Alternative Name의 약자로, X.509 인증서 표준에서 인증서가 유효한 추가 도메인 이름을 나열하는 필드입니다. 브라우저가 서버에 연결할 때 요청된 도메인이 SAN 항목과 일치하는지 확인합니다.
멀티 도메인 인증서의 내부 구조는 다음과 같습니다:
Certificate for:
CN: example.com
SAN: example.com
SAN: www.example.com
SAN: example.org
SAN: api.myapp.io네 도메인 모두 하나의 인증서와 하나의 개인키로 보호됩니다. 요청된 호스트 이름이 SAN 항목 중 하나와 일치하면 브라우저가 연결을 수락합니다.
제한: Let’s Encrypt는 인증서당 최대 100개의 SAN 항목을 지원합니다. 상용 인증 기관은 다양하며 — 일부는 250개 이상을 허용하고, 일부는 항목당 요금을 부과합니다.
일반적인 사용 사례
여러 브랜드 도메인
brandname.com, brandname.co.uk, brandname.de를 운영합니다. 하나의 SAN 인증서가 지역별 별도 인증서 관리 없이 세 개 모두를 포함합니다.
도메인 + www 변형
가장 일반적인 SAN 사용: example.com + www.example.com. 대부분의 인증서에 자동으로 포함됩니다. GetHTTPS는 기본 도메인을 입력하면 www 변형도 추가하라고 안내합니다.
다른 도메인의 마이크로서비스
API가 api.company.com에, 문서가 docs.company.com에, 마케팅 사이트가 company.com에 있습니다. SAN 인증서가 세 가지를 모두 보호합니다. 모두 서브도메인이라면 와일드카드가 더 간단할 수 있습니다.
도메인 간 마이그레이션
olddomain.com에서 newdomain.com으로 이동 중인가요? 두 도메인을 포함하는 SAN 인증서로 전환 기간 동안 별도의 인증서를 유지하지 않고 두 도메인 모두에서 HTTPS를 제공할 수 있습니다.
SAN vs 와일드카드
| SAN (멀티 도메인) | 와일드카드 | |
|---|---|---|
| 보호 범위 | 특정 나열된 도메인 | 하나의 도메인의 모든 서브도메인 |
| 교차 도메인 | ✅ example.com + other.com | ❌ 하나의 기본 도메인만 |
| 새 도메인 | 새 인증서 필요 | 새 서브도메인은 자동으로 포함 |
| 챌린지 유형 | HTTP-01 또는 DNS-01 | DNS-01만 |
| 인증서 크기 | SAN 항목마다 증가 | 고정 |
| 사용 사례 | 여러 다른 도메인 | 하나의 도메인의 많은 서브도메인 |
| Let’s Encrypt 제한 | 인증서당 100개 이름 | 인증서당 와일드카드 1개 (SAN과 결합 가능) |
둘 다 결합할 수 있습니다: 하나의 인증서에 example.com, *.example.com, other.com을 SAN 항목으로 포함할 수 있습니다. 기본 도메인, 모든 서브도메인, 추가 도메인을 하나의 인증서에서 보호하는 데 일반적으로 사용됩니다.
GetHTTPS로 멀티 도메인 인증서 발급
- gethttps.com/app/setup으로 이동
- 보호할 모든 도메인 입력:
example.com,www.example.com,example.org - 각 도메인에 대해 챌린지 완료 — HTTP-01(파일 배치) 또는 DNS-01(TXT 레코드 추가)
- GetHTTPS가 Let’s Encrypt에 제출하기 전에 각 챌린지를 사전 검사
- 모든 도메인을 포함하는 하나의 인증서 다운로드
Let’s Encrypt가 각 도메인을 독립적으로 관리하고 있는지 확인해야 하므로 각 도메인에 별도의 검증이 필요합니다. GetHTTPS가 순차적으로 처리합니다 — 하나를 검증하고 다음으로 넘어갑니다.
예시: 3개 도메인, 혼합 챌린지
| 도메인 | 챌린지 유형 | 수행 작업 |
|---|---|---|
example.com | HTTP-01 | 서버에 파일 배치 |
www.example.com | HTTP-01 | 같은 서버, 같은 과정 |
example.org | DNS-01 | TXT 레코드 추가 (다른 DNS 제공자) |
세 가지 모두 통과하면 세 도메인을 포함하는 하나의 인증서 파일 세트(fullchain.pem, privkey.pem)를 받습니다.
멀티 도메인 인증서 설치
설치는 단일 도메인 인증서와 동일합니다. 서버는 인증서에 SAN이 몇 개 있는지 관여하지 않습니다 — 같은 파일을 사용합니다.
Nginx:
server {
listen 443 ssl http2;
server_name example.com www.example.com example.org;
ssl_certificate /etc/ssl/fullchain.pem;
ssl_certificate_key /etc/ssl/privkey.pem;
}Apache:
<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com example.org
SSLEngine on
SSLCertificateFile /etc/ssl/cert.pem
SSLCertificateKeyFile /etc/ssl/privkey.pem
SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>도메인이 다른 서버를 가리키는 경우, 각 서버에 동일한 인증서 파일을 설치합니다. 인증서는 어느 서버가 제공하든 나열된 모든 도메인에 유효합니다.
자주 묻는 질문
SAN 인증서가 더 비싼가요?
Let’s Encrypt에서는 아닙니다. GetHTTPS를 통해 하나의 무료 인증서에 최대 100개 도메인을 포함할 수 있습니다. 일부 상용 인증 기관은 추가 SAN 항목당 $10-50를 부과합니다.
모든 도메인이 같은 서버에 있어야 하나요?
아닙니다. 인증서는 어느 서버에서나 작동합니다. 나열된 도메인을 제공하는 각 서버에 동일한 fullchain.pem과 privkey.pem을 설치합니다.
기존 SAN 인증서에 도메인을 추가할 수 있나요?
직접적으로는 안 됩니다 — 발급된 인증서는 수정할 수 없습니다. 모든 도메인(기존 + 새 도메인)을 포함하는 새 인증서를 요청해야 합니다. GetHTTPS로 몇 분이면 됩니다.
별도의 인증서를 사용해야 하는 경우는?
별도의 인증서를 사용해야 하는 경우:
- 다른 팀이 다른 도메인을 관리 (별도의 키 = 별도의 접근 제어)
- 다른 갱신 일정이 필요
- 격리가 중요 — 하나의 키 유출이 다른 도메인에 영향을 주면 안 됨
- 100개 이름 초과 — 여러 인증서로 분할
SAN이 인증서 크기에 미치는 영향은?
각 SAN 항목이 인증서에 약 30-50바이트를 추가합니다. 100개 항목에서 인증서가 몇 KB 더 커집니다. TLS 핸드셰이크 속도에 미치는 영향은 무시할 수 있습니다.
SAN과 UCC의 차이점은?
UCC(Unified Communications Certificate)는 멀티 도메인 SAN 인증서에 대한 Microsoft의 명칭으로, 원래 Exchange와 Office Communications Server용으로 설계되었습니다. 기술적으로 동일한 것입니다 — 여러 SAN 항목이 있는 인증서.