Knowledge Base

SAN: Subject Alternative Names в TLS-сертификате

Что такое SAN

Категория: SSL/TLS · Риск: low

Что такое SAN

Subject Alternative Names — поле X.509-сертификата, перечисляющее все домены (и IP), для которых он действителен. Браузеры с 2017 года проверяют только SAN, игнорируя CN.

Wildcard vs multi-SAN

| Подход | Покрытие | Ограничение | |--------|---------|-------------| | `*.example.com` | Все поддомены 1 уровня | Не покрывает `sub.sub.example.com` | | SAN: a.example.com, b.example.com | Только перечисленные | Максимум 100 имён | | Wildcard + SAN | Гибкий вариант | Нужен DNS challenge для wildcard |

Добавить домен в существующий сертификат

# Перевыпустить с расширенным набором доменов
certbot certonly --nginx \
  -d example.com \
  -d www.example.com \
  -d api.example.com \
  -d staging.example.com

Старый сертификат заменяется новым.

Wildcard через DNS challenge

certbot certonly --manual \
  --preferred-challenges dns \
  -d "*.example.com" \
  -d example.com

Потребует добавить TXT-запись `_acme-challenge.example.com`.