← 返回「憑證類型與等級」
📋 依涵蓋域名分類

多域名 SAN SSL 憑證
(Multi-Domain / SAN / UCC)

在單張憑證中保護多個完全不同的域名,大幅簡化 SSL 管理流程。支援跨域名保護,可隨時新增或更換域名清單。

🛒 立即申請多域名憑證 📖 深入了解
🔗

跨域名保護

一張憑證可同時保護 .com、.net、.org 等多個完全不同的頂級域名。

📊

集中管理

只需維護一個到期日、一份 CSR、一套安裝流程,大幅降低管理負擔。

🔄

彈性調整

可在憑證有效期內透過重新簽發來新增、移除或更換域名清單。

💰

成本效益

保護多個域名的總成本通常低於分別購買多張單域名憑證。

什麼是多域名 SAN SSL 憑證?

多域名 SSL 憑證,也稱為 SAN 憑證(Subject Alternative Name)UCC 憑證(Unified Communications Certificate),是一種允許在單張憑證中包含多個完全不同域名的 SSL 憑證。

與單一域名憑證不同,SAN 憑證可以同時保護像 example.commy-service.netcompany-group.org 這樣完全不相關的域名。所有這些域名共享同一張憑證、同一把私鑰和同一個到期日,大幅簡化了多網域環境下的 SSL 管理工作。

💡 SAN 的技術原理

SAN(Subject Alternative Name)是 X.509 憑證標準中的一個擴展欄位。CA 在簽發憑證時,會將所有需要保護的域名逐一列入 SAN 欄位中。瀏覽器在驗證 SSL 憑證時,會檢查當前訪問的域名是否存在於憑證的 SAN 列表中。只要域名在列表中,瀏覽器就會認為該憑證有效。

保護範圍示例

一張多域名 SAN 憑證可以同時保護以下類型的域名組合:

域名 類型 說明
www.example.com 主域名 憑證的主要域名(Common Name)
example.com 裸域名 同一品牌的裸域名
shop.example.com 子域名 同一品牌下的電商子站
www.another-brand.net 不同域名 完全不同品牌的域名
api.third-service.org 不同域名子域 第三個品牌的 API 端點
mail.company.com.tw 郵件伺服器 公司的郵件伺服器域名

多域名 SAN 憑證的核心優勢

📋

統一管理,一次到期

所有域名共用一個到期日和一套管理流程。不用再追蹤多張憑證的各自到期時間,避免因疏漏而導致某個域名的憑證過期。

💰

整體成本更低

以保護 5 個域名為例,購買一張 SAN 憑證的價格通常遠低於購買 5 張獨立的單域名憑證。域名數量越多,節省越顯著。

🔄

彈性增減域名

在憑證有效期內,可透過「重新簽發(Reissue)」來新增、移除或替換域名清單。業務擴展時無需重新購買憑證。

⚙️

簡化部署流程

同一台伺服器上托管多個域名的網站時,只需安裝一張 SAN 憑證即可覆蓋所有域名,減少重複的設定工作。

🌐

跨域名品牌保護

企業集團旗下的多個品牌域名可以統一使用同一張高等級(OV/EV)憑證,展現一致的企業形象和信任度。

🔧

混合域名類型

SAN 列表中可以混合放入主域名、子域名、不同頂級域名,甚至內部伺服器名稱(部分 CA 支援),非常靈活。

域名數量與定價

新增或移除域名的流程

  1. 登入 CA 管理平台:進入您的憑證管理帳號。
  2. 選擇「重新簽發」:找到您的 SAN 憑證,選擇 Reissue 功能。
  3. 修改 SAN 列表:新增或移除需要調整的域名。
  4. 完成新域名驗證:新增的域名需要完成域名所有權驗證(DNS 或 Email)。
  5. 下載並重新部署:取得更新後的憑證,重新安裝到伺服器。

⚠️ 重要注意事項

• 重新簽發會產生新的憑證檔案,需要重新部署到所有使用該憑證的伺服器。
• 某些 CA 對重新簽發的次數有限制(如每年最多 25 次)。
• 移除域名不會退還該域名的費用。
• 重新簽發不會延長憑證的有效期限。

產生多域名 CSR

使用 OpenSSL 產生包含多個 SAN 域名的 CSR:

# 建立 SAN 設定檔 san.cnf
[req]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = v3_req
distinguished_name = dn

[dn]
CN = www.example.com
O = Your Company Name
C = TW
ST = Taipei
L = Taipei

[v3_req]
subjectAltName = @alt_names

[alt_names]
DNS.1 = www.example.com
DNS.2 = example.com
DNS.3 = www.another-brand.net
DNS.4 = api.third-service.org

# 產生 CSR
openssl req -new -newkey rsa:2048 -nodes \
  -keyout multi-domain.key -out multi-domain.csr \
  -config san.cnf

多域名 SAN 憑證的最佳適用情境

以下場景特別適合使用多域名 SAN SSL 憑證:

🏢 多品牌企業集團

旗下擁有多個不同品牌域名的企業集團,用一張 SAN 憑證統一保護所有品牌官網,集中管理且降低成本。

🔧 微服務架構

微服務系統中不同服務使用不同域名作為入口(如 api.service-a.com、auth.service-b.net),SAN 憑證能統一保護所有服務端點。

📧 Microsoft Exchange / Office 365

Exchange Server 需要多個域名(autodiscover、mail、owa 等),UCC/SAN 憑證是微軟官方推薦的解決方案。

🌍 國際化企業

在不同國家使用不同域名的國際企業(如 company.com、company.co.jp、company.de),一張 SAN 憑證統一管理。

🏗️ 開發/測試/正式環境

同一個專案在開發、測試和正式環境使用不同域名,SAN 憑證可以一次覆蓋所有環境。

📱 混合子域名與主域名

當您需要保護的域名既包含主域名又包含不同品牌的子域名時,SAN 憑證提供最大的彈性。

多域名 vs 單域名 vs 萬用字元比較

比較項目 單一域名 多域名 (SAN) 萬用字元
保護範圍 1 個 FQDN 多個不同域名 一層子域名
跨域名保護 ✅ 可跨域名 ❌ 僅同一主域名
域名數量 1 個 最多 100-250 個 無限子域名
彈性增減 ✅ 可重新簽發 自動涵蓋新子域名
管理效率 需管理多張憑證 一張憑證統一管理 一張憑證統一管理
可搭配 EV
最適合 單一網站 多品牌 / 多服務 多子域名架構

多域名 SAN SSL 憑證常見問題

SAN 憑證中的所有域名都必須由同一個人/公司擁有嗎?

對於 DV 憑證,只要申請人能通過每個域名的域名驗證即可,不一定需要所有域名的 WHOIS 屬於同一人。但對於 OV/EV 憑證,所有域名都必須屬於同一個經過驗證的組織,或該組織需要提供域名使用授權書。

SAN 憑證和 UCC 憑證有什麼不同?

本質上是同一種東西。UCC(Unified Communications Certificate)是微軟為 Exchange Server 和 Lync Server 環境推廣的名稱,技術上就是利用 SAN 欄位來包含多個域名。在購買時,看到 SAN、UCC 或 Multi-Domain 的標示,都是指同一類型的憑證。

可以在 SAN 憑證中混合使用萬用字元嗎?

部分 CA 支援。某些 CA 的 SAN 憑證允許在域名列表中加入萬用字元項目(如 *.example.com),這被稱為「Multi-Domain Wildcard SSL」。這種組合提供最大的保護彈性,但價格也相對較高。請在購買前與 CA 確認是否支援此功能。

新增域名到現有 SAN 憑證需要多久?

新增域名需要透過「重新簽發(Reissue)」流程:
DV 憑證:新域名完成域名驗證後,通常數分鐘至數小時即可完成。
OV 憑證:如果新域名屬於同一個已驗證的組織,通常 1 個工作天內可完成。
EV 憑證:可能需要重新進行部分驗證程序,約 1-3 個工作天。

探索其他憑證類型

🌐 單一域名憑證

保護單一域名,最簡單且價格最親民的選擇。

🌟 萬用字元憑證

保護所有子域名,適合多子網站架構。

📋 DV SSL 憑證

域名驗證憑證,快速核發。

🏢 OV SSL 憑證

組織驗證,展示企業身分。

🏦 EV SSL 憑證

最高信任等級擴展驗證。

多個域名,一張憑證,統一管理

多域名 SAN 憑證讓您輕鬆管理所有品牌域名的 SSL 安全。經綸SSL安全憑證申請中心提供多種 SAN 憑證方案。

🛒 查看多域名憑證方案 📚 回到 SSL 小教室