Certificat SAN : Multi-Domaines

Sécurisez plusieurs domaines différents avec un seul certificat.

Un certificat SAN (Subject Alternative Name), aussi appelé UCC (Unified Communications Certificate), permet de sécuriser plusieurs domaines totalement différents avec un seul certificat. Contrairement au wildcard qui couvre les sous-domaines d'un même domaine, le SAN peut inclure example.com, other-site.org, et third-domain.net ensemble.

Les certificats SAN sont idéaux pour les entreprises qui gèrent plusieurs marques ou sites distincts, ou pour sécuriser à la fois le domaine principal et ses variantes (avec et sans www, .com et .fr). Ils offrent une flexibilité que les wildcards n'ont pas.

Ce guide explore les cas d'usage des certificats SAN, comment les obtenir, et les différences avec les certificats wildcard pour vous aider à choisir la solution adaptée.

Avantages des Certificats SAN

Pourquoi utiliser un certificat multi-domaines :

  • Domaines distincts : sécurisez example.com et totally-different.org dans le même certificat. Impossible avec un wildcard.
  • Gestion unifiée : un seul certificat à installer et renouveler pour plusieurs sites. Simplification opérationnelle.
  • Économies : un certificat SAN coûte moins cher que plusieurs certificats individuels (pour les certificats payants).
  • Flexibilité : combinez domaines et sous-domaines selon vos besoins : www.site1.com, blog.site2.org, etc.

SAN vs Wildcard

Choisissez la bonne solution selon votre cas :

  • Couverture : Wildcard = tous les sous-domaines d'un domaine. SAN = liste explicite de domaines/sous-domaines.
  • Domaines différents : Wildcard = un seul domaine. SAN = plusieurs domaines totalement différents.
  • Sous-domaines dynamiques : Wildcard = idéal. SAN = vous devez ajouter chaque sous-domaine manuellement.
  • Validation Let's Encrypt : SAN = HTTP-01 fonctionne. Wildcard = DNS-01 obligatoire.

Obtenir un Certificat SAN

Étapes pour créer un certificat multi-domaines :

  1. Listez vos domaines : identifiez tous les domaines et sous-domaines à inclure. Chaque domaine nécessite une validation.
  2. Vérifiez le DNS : tous les domaines doivent pointer vers votre serveur pour la validation HTTP-01.
  3. Demandez le certificat : avec Certbot : ajoutez plusieurs -d pour chaque domaine que vous voulez inclure.
  4. Configurez le serveur : le certificat s'applique à tous les domaines. Configurez vos virtual hosts pour l'utiliser.

Création d'un Certificat SAN

Exemples de commandes Certbot :

#!/bin/bash
# Certificat SAN avec plusieurs domaines
certbot certonly --nginx \
    -d example.com \
    -d www.example.com \
    -d other-site.org \
    -d www.other-site.org \
    -d third-domain.net

# Vérifier les domaines inclus
openssl x509 -in /etc/letsencrypt/live/example.com/cert.pem -noout -text | grep DNS

# Ajouter un domaine à un certificat existant
certbot certonly --nginx --cert-name example.com \
    -d example.com \
    -d www.example.com \
    -d new-domain.com

# Combiner SAN et wildcard
certbot certonly --dns-cloudflare \
    --dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini \
    -d "*.example.com" \
    -d example.com \
    -d other-site.org

Vous pouvez ajouter jusqu'à 100 domaines dans un certificat Let's Encrypt. Chaque domaine doit réussir sa validation.

Bonnes Pratiques SAN

Optimisez votre certificat multi-domaines :

  • Planifiez vos domaines : incluez toutes les variantes dès le départ : avec/sans www, .com/.fr, etc.
  • Groupez logiquement : un certificat par serveur/application plutôt qu'un certificat géant pour tout.
  • Documentez le contenu : gardez une trace des domaines inclus dans chaque certificat pour faciliter les renouvellements.
  • Surveillez chaque domaine : un seul certificat, mais chaque domaine doit être monitoré individuellement.

Checklist Certificat SAN

  • Liste complète des domaines établie
  • DNS de tous les domaines configuré
  • Validation réussie pour chaque domaine
  • Certificat installé sur le serveur
  • Virtual hosts configurés
  • Surveillance active pour chaque domaine

Questions Fréquentes

Combien de domaines puis-je inclure dans un SAN ?

Let's Encrypt autorise jusqu'à 100 noms par certificat. Les certificats commerciaux varient, généralement 25 à 250.

Puis-je ajouter un domaine à un certificat existant ?

Avec Let's Encrypt, oui. Utilisez --cert-name et listez tous les domaines (anciens + nouveau). C'est essentiellement une rééméission.

Le SAN fonctionne-t-il avec des TLD différents ?

Oui, vous pouvez mélanger example.com, example.org, example.fr dans le même certificat.

Que se passe-t-il si un domaine ne valide pas ?

L'émission du certificat échoue complètement. Tous les domaines doivent réussir leur validation.

Le SAN affecte-t-il les performances SSL ?

Légèrement. Un certificat avec beaucoup de SAN est plus gros et prend plus de temps à transmettre lors du handshake.

Puis-je combiner SAN et wildcard ?

Oui, vous pouvez avoir *.example.com, example.com, et other-domain.org dans le même certificat.

Consolidez avec les Certificats SAN

Les certificats SAN sont la solution idéale pour gérer plusieurs domaines distincts. Ils simplifient l'administration tout en offrant la flexibilité nécessaire.

Surveillez chaque domaine de votre certificat SAN avec MoniTao. Un seul certificat ne signifie pas une surveillance unique : chaque domaine mérite son propre monitor.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs