Definições
- SAN/Multi-Domain: um certificado que cobre vários nomes declarados em Subject Alternative Name (ex.: exemplo.com.br, www.exemplo.com.br, api.exemplo.com.br, blog.exemplo.net).
- Wildcard: cobre todos os subdomínios de um único domínio de nível imediatamente inferior (ex.: *.exemplo.com.br cobre www, api, loja, mas não cobre sub.api.exemplo.com.br).
Quando escolher SAN
- Você precisa proteger vários domínios diferentes e/ou TLDs (ex.: .com.br, .net).
- Lista de nomes controlada e relativamente estável.
Quando escolher Wildcard
- Você precisa cobrir muitos subdomínios do mesmo domínio, inclusive futuros, sem reemissão.
Exemplo de CSR com SAN (OpenSSL)
[ req ] default_bits = 2048 prompt = no default_md = sha256 req_extensions = req_ext distinguished_name = dn [ dn ] C=BR ST=MG L=Belo Horizonte O=Exemplo Tecnologia LTDA OU=TI CN=exemplo.com.br emailAddress=admin@exemplo.com.br [ req_ext ] subjectAltName=@alt [ alt ] DNS.1=exemplo.com.br DNS.2=www.exemplo.com.br DNS.3=api.exemplo.com.br DNS.4=blog.exemplo.net
Observações de instalação
- Apache: prefira fullchain em
SSLCertificateFile(ou mantenhaSSLCertificateChainFilese aplicável). - Nginx: use
ssl_certificatecom o fullchain (CRT + cadeia).
Reemissão
Para SAN, adicionar/remover nomes geralmente exige reemissão. Para wildcard, novos subdomínios não exigem reemissão.