Все статьи о SSL SSL и сертификаты

Мультидоменные SSL-сертификаты (SAN)

Мультидоменный SSL-сертификат (также называемый SAN или UCC сертификатом) защищает несколько разных доменных имён с помощью одного сертификата. Вместо управления отдельными сертификатами для example.com, example.org и myapp.io, один SAN-сертификат покрывает их все.

Это отличается от wildcard-сертификата, который покрывает поддомены одного домена. SAN-сертификат может покрывать совершенно разные домены.

Как работают SAN-сертификаты

SAN расшифровывается как Subject Alternative Name — поле в стандарте сертификатов X.509, которое перечисляет дополнительные доменные имена, для которых сертификат действителен. Когда ваш браузер подключается к серверу, он проверяет, совпадает ли запрашиваемый домен с какой-либо записью SAN.

Вот как выглядит мультидоменный сертификат изнутри:

Certificate for:
  CN: example.com
  SAN: example.com
  SAN: www.example.com
  SAN: example.org
  SAN: api.myapp.io

Все четыре домена защищены одним сертификатом с одним закрытым ключом. Браузер принимает соединение, если запрашиваемое имя хоста совпадает с любой записью SAN.

Ограничения: Let’s Encrypt поддерживает до 100 записей SAN на сертификат. У коммерческих удостоверяющих центров ограничения различаются — некоторые разрешают 250+, некоторые берут плату за каждую запись.

Типичные сценарии использования

Несколько доменов бренда

Вы управляете brandname.com, brandname.co.uk и brandname.de. Один SAN-сертификат покрывает все три без необходимости управлять отдельными сертификатами для каждого региона.

Домен + варианты с www

Самое распространённое использование SAN: example.com + www.example.com. Большинство сертификатов включают оба варианта автоматически. GetHTTPS предлагает добавить вариант с www, когда вы вводите домен без него.

Микросервисы на разных доменах

Ваш API находится на api.company.com, документация — на docs.company.com, а маркетинговый сайт — на company.com. SAN-сертификат защищает все три. Если все они являются поддоменами, wildcard может быть проще.

Миграция между доменами

Переезжаете с olddomain.com на newdomain.com? SAN-сертификат, покрывающий оба домена, позволяет обслуживать HTTPS на обоих доменах во время перехода без необходимости поддерживать два отдельных сертификата.

SAN vs Wildcard

SAN (мультидоменный)Wildcard
ПокрываетКонкретные перечисленные доменыВсе поддомены одного домена
Кросс-доменныйexample.com + other.com❌ Только один базовый домен
Новые доменыТребуется новый сертификатНовые поддомены покрываются автоматически
Тип проверкиHTTP-01 или DNS-01Только DNS-01
Размер сертификатаРастёт с каждой записью SANФиксированный
Сценарий использованияНесколько разных доменовМножество поддоменов одного домена
Лимит Let’s Encrypt100 имён на сертификат1 wildcard на сертификат (можно комбинировать с SAN)

Можно комбинировать оба варианта: один сертификат может включать example.com, *.example.com и other.com в качестве записей SAN. Это распространённый подход для покрытия основного домена, всех поддоменов и дополнительных доменов в одном сертификате.

Получение мультидоменного сертификата через GetHTTPS

  1. Перейдите на gethttps.com/app/setup
  2. Введите все домены, которые хотите покрыть: example.com, www.example.com, example.org
  3. Пройдите проверку для каждого домена — HTTP-01 (разместите файл) или DNS-01 (добавьте TXT-запись)
  4. GetHTTPS предварительно проверяет каждый вызов перед отправкой в Let’s Encrypt
  5. Скачайте один сертификат, покрывающий все домены

Каждый домен требует собственной валидации, потому что Let’s Encrypt должен убедиться, что вы контролируете каждый из них независимо. GetHTTPS обрабатывает их последовательно — вы подтверждаете один, затем следующий.

Пример: 3 домена, смешанные типы проверки

ДоменТип проверкиЧто нужно сделать
example.comHTTP-01Разместить файл на сервере
www.example.comHTTP-01Тот же сервер, тот же процесс
example.orgDNS-01Добавить TXT-запись (другой DNS-провайдер)

После того как все три проверки пройдены, вы получаете один набор файлов сертификата (fullchain.pem, privkey.pem), покрывающий все три домена.

Установка мультидоменного сертификата

Установка идентична установке сертификата для одного домена. Серверу всё равно, сколько SAN содержит сертификат — он использует те же файлы.

Nginx:

server {
    listen 443 ssl http2;
    server_name example.com www.example.com example.org;

    ssl_certificate     /etc/ssl/fullchain.pem;
    ssl_certificate_key /etc/ssl/privkey.pem;
}

Apache:

<VirtualHost *:443>
    ServerName example.com
    ServerAlias www.example.com example.org

    SSLEngine on
    SSLCertificateFile /etc/ssl/cert.pem
    SSLCertificateKeyFile /etc/ssl/privkey.pem
    SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>

Если домены указывают на разные серверы, установите одни и те же файлы сертификата на каждый сервер. Сертификат действителен для всех перечисленных доменов независимо от того, какой сервер его предъявляет.

Часто задаваемые вопросы

SAN-сертификат стоит дороже?

Не с Let’s Encrypt. Вы можете включить до 100 доменов в один бесплатный сертификат через GetHTTPS. Некоторые коммерческие удостоверяющие центры берут $10-50 за каждую дополнительную запись SAN.

Все домены должны быть на одном сервере?

Нет. Сертификат работает на любом сервере. Установите одни и те же файлы fullchain.pem и privkey.pem на каждый сервер, который должен обслуживать любой из перечисленных доменов.

Можно ли добавить домен к существующему SAN-сертификату?

Напрямую — нет. Вы не можете изменить уже выпущенный сертификат. Необходимо запросить новый сертификат, включающий все домены (существующие + новые). С GetHTTPS это занимает несколько минут.

Когда лучше использовать отдельные сертификаты?

Используйте отдельные сертификаты, когда:

  • Разные команды управляют разными доменами (отдельные ключи = раздельный контроль доступа)
  • Необходимы разные графики обновления
  • Важна изоляция — компрометация одного ключа не должна влиять на другие домены
  • Вы превышаете 100 имён — разделите на несколько сертификатов

Как SAN влияет на размер сертификата?

Каждая запись SAN добавляет ~30-50 байт к сертификату. При 100 записях сертификат становится на несколько КБ больше. Это оказывает незначительное влияние на скорость TLS-рукопожатия.

В чём разница между SAN и UCC?

UCC (Unified Communications Certificate) — это название Microsoft для мультидоменных SAN-сертификатов, изначально разработанных для Exchange и Office Communications Server. Технически это одно и то же — сертификат с несколькими записями SAN.

Похожие статьи

SSL и сертификаты 2026-05-07
Wildcard SSL-сертификаты: полное руководство
Wildcard-сертификат (*.example.com) защищает все поддомены одним сертификатом. Узнайте, как работают wildcard-сертификаты, их ограничения и как получить их бесплатно.
Начало работы 2026-05-08
Как получить бесплатный SSL-сертификат (пошаговое руководство)
Получите бесплатный SSL-сертификат от Let's Encrypt за 5 минут --- без установки программ, без создания аккаунта. Полное руководство: 4 метода, оба типа проверки, установка на 6 платформах и устранение неполадок.
SSL и сертификаты 2026-05-07
Типы SSL-сертификатов: DV, OV и EV
Сравнение SSL-сертификатов с проверкой домена (DV), проверкой организации (OV) и расширенной проверкой (EV). Узнайте различия в верификации, стоимости и когда какой тип действительно нужен.
Получите бесплатный SSL-сертификат в браузере
Без установки, без аккаунта. Ваш приватный ключ никогда не покидает устройство.
Получить сертификат