멀티 도메인 Multi-Domain / SAN SSL 인증서란?

기술자료, 설치/적용 이슈 주요 사례

아래 설명 내용은, 서버관리자 레벨 대상의 설명이므로, 서버/네트워크/도메인 관련된 IT 개념,용어등의 사전 숙지가 필요합니다.


멀티 도메인(Multi-Domain) 인증서란, Multi 라는 이름 처럼 1개의 인증서에 SSL 적용이 필요한 여러개의 도메인을 포함할 수 있는 인증서 입니다. 명확하게는 '도메인' 보다는 SAN 항목이 여러개 입니다. (싱글 SSL 인증서는 FQDN 1개만 포함합니다 - 차이점) (FQDN이란?)

SAN (Subject Alternative Name, 주체 대체 이름) 또는 UCC (Unified Commucations Certificates) 라고도 불려집니다. RFC 국제 표준 X.509 확장 기술 입니다.  웹브라우져에서 인증서 상세보기 항목중 [주체 대체 이름(SAN) - DNS Name] 항목이 해당됩니다. 인증서 포맷에 따라서 Email, IP 등 여러가지를 포함할수 있습니다.

Multi 인증서가 Single 인증서와는 다른 특별한 인증서는 아니며, SAN 항목에 'FQDN' 여러개를 단지 포함할 뿐이며, 그외 Single 인증서와는 어떠한 차이도 없습니다. 도메인 형식 '타입' 에 따른 표기 구분일 뿐입니다. (Single 인증서도 www. + non-www. 2개가 들어가 있으므로 Multi 인증서라고 해도 무방)

Multi 인증서는, Single 인증서 여러개를 발급 받는것과 동일하며, 단순하게 파일만 1개 로 할뿐입니다. Single 인증서 발급/적용과 차이가 없으며, 인증서 자체 기술적으로도 차이가 없습니다. Multi 를 특별한 인증서로 착각하시는 분들이 많습니다. 



■ 주요 용도

 ⦁ 인증서 파일을 단지 1개로만 하고자 할 경우 (SSL 적용 작업시에는 Single 과 작업량에서 차이 없음)
 ⦁ SNI 미지원 웹서버에서, 443 SSL 기본 포트에 여러개 도메인에 https 적용하고자 하는 경우
  (웹서버에서 SNI 지원되는 경우에는, 멀티도메인 보다는 싱글도메인 인증서 개별 적용 권장)



■ 웹사이트에 적용 가능한 SAN(DNS Name) 예제

CN : sslcert.co.kr 인증서  (CN 을 기본 SAN 으로 하고, 추가 FQDN 을 인증서에 더 포함하는 경우) 
      (추가 SAN)  www.sslcert.co.kr
      (추가 SAN)  mail.sslcert.co.kr
      (추가 SAN)  securesign.kr
      (추가 SAN)  www.securesign.kr
      (추가 SAN)  groupware.mydomain.com
      (추가 SAN)  svr2.mail.httpssl.co.kr 
         ...... https:// SSL 적용이 필요한 FQDN 최대 250개 까지 추가

   (CN 도메인 FQDN 도, 총갯수 및 인증서의 SAN 목록에 기본 포함됨)
   (www 와 non-www 는 별개 FQDN 이며, 2개의 SAN 으로 산정됨 - 필요시 갯수에 포함 및 각각 입력)
   (발급 완료후 추후에도 '도메인추가' 신청을 통해서 SAN 항목에 도메인 계속 추가 가능)
   (추가 SAN 에 포함된 FQDN 은 재발급을 통해서 다른 FQDN 도메인으로도 변경 가능)




■ 실제 인증서에 표시되는 SAN(DNS Name) 항목 예제

발급 신청서에 신청한(입력한) FQDN 만, 실제 발급된 인증서에 포함됩니다. 필요한 호스트(FQDN) 은 모두 포함해서 신청해야 합니다. DNS Name (SAN) 항목에 표기된 FQDN 만 https:// 적용이 가능합니다.

웹브라우저에서 https:// 접속후 인증서 상세 보기에서, 멀티도메인 인증서가 적용된 경우 아래와 같은 형식으로 표시됩니다. CN 도메인은 인증서 이름으로 표시되며, SAN 도메인은 인증서 상세보기에서 주체대체이름(SAN) 항목에서 확인 가능합니다.




■ 발급 신청서에 도메인 기본 CN & 추가 SAN 입력 예제

CN : 인증서에 포함될 여러개 FQDN 도메인중, 대표할수 있는 FQDN 도메인 1개를 CN으로 입력 합니다. (CN 도 SAN에 자동 포함됨)



SAN : 나머지 추가 도메인은, 신청서 작성중 DCV 설정 단계에서 추가 입력합니다. (필요한 호스트(FQDN)은 모두 신청 필요)





■ 유의 사항 (착오주의)

⦁ 인증서에 포함되는 도메인은 모두 FQDN 기준 입니다. (www 와 non-www 구분)
⦁ www.sslcert.co.kr 과 sslcert.co.kr 은 동일 도메인이 아닌 완전히 개별 FQDN 입니다.
⦁ sslcert.co.kr 만 신청할 경우, www.sslcert.co.kr 은 SSL 적용이 안됩니다. (필요시 갯수에 포함해야 함)
⦁ DNS Name 에 포함되지 않은 도메인은 SSL 적용이 불가합니다.
⦁ SSL 적용이 필요한 모든 FQDN 을 인증서 신청시 포함(개수)해서 넣어야 합니다.
⦁ CN 도메인은, 인증서에 포함해야 할 도메인중 대표 도메인 FQDN 을 넣습니다. (CN 도 발급된 인증서 도메인목록에 포함됨)
⦁ 발급 후 추가에 포함될 도메인 개수는 증가만 가능하며, 개수 축소는 불가합니다. (개수 증가는 여러번 가능)
⦁ 인증서에 포함되는 도메인(FQDN) 은 모두 각각 DCV 인증을 통과해야만 발급 받을수 있습니다.
⦁ 이용 중간에 도메인 추가시, 추가된 도메인의 이용기간이 별도로 설정되지 않습니다. (모두 한꺼번에 동일하게 폐기됨)
⦁ 인증서에 포함된 도메인에 SSL 적용은 각 사이트마다 적용 작업을 각각 해야 합니다. (사이트 자동 적용 X)
⦁ 443(기본) 포트에는 멀티도메인 인증서 1개만 적용해야 합니다. (SNI 미지원 서버는 다른 인증서와는 443 공유 불가능)

 

 

■ 참고 사항

⦁ 인증서에 도메인 갯수가 많이 추가되면 추가 될수록 인증서 파일 크가가 커집니다.  https:// 접속시, 클라이언트는 서버에서 "서버인증서" 정보 받아오기 때문에, 인증서 데이터가 커지면 속도 지연 (트래픽 증가에 따른 서버/클라이언트 부하 발생, 미미하지만 대량 접속에서는 고려 사항)이 발생할수 있습니다.

⦁ 멀티도메인은 상품에 따라서 1개 인증서에 최대 250개 까지 추가 가능하지만, 30여개 이하로 넣는것을 권장드립니다. 대략적으로 1개 인증서 PEM 크기보다 거의 2배 (전체 도메인 철자 갯수에 따라 차이) 데이터 크기가 됩니다.

⦁ 웹서버에서 SNI 기능을 지원한다면, 멀티도메인 인증서 보다는 'SNI 기능을 활용한 싱글도메인 인증서' 의 개별 적용을 권장합니다.  멀티도메인 인증서는 비용/발급/적용/관리 등, 여러가지 부분에서 싱글도메인 인증서보다 단점이 많습니다.

⦁ 발급 인증시 모든 도메인 FQDN 이 DCV 인증을 받아야 하나요? ➜ 예 그렇습니다. 절대 필수 입니다. 포함된 모든 개별 FQDN 마다 각각 DCV 를 인증 받아야 하며, 포함된 모든 FQDN 이 인증을 통과했을 경우에만 최종적으로 발급 완료 처리됩니다. 

⦁ 멀티 인증서를 발급 받으면, 서브 도메인 사이트 적용이 더 편리(간편,간단)하나요? ➜ 아닙니다. 발급 신청 과정이 1번으로 간편할뿐, 서버에 있는 서브도메인 웹사이트에 SSL 적용은, 각 사이트마다 개별적으로 적용해야 합니다. 서버 작업 관점에서는, 싱글/와일드/멀티는 작업 내용에 차이는 없으며 모두 동일합니다.



■ 연관 FAQ

멀티도메인(Multi-Domain) 발급 후, 추후에 도메인(SAN)을 더 추가 가능하나요?
https://www.sslcert.co.kr/faq/view/148

멀티도메인에 포함될 FQDN 도메인 갯수 확인 및 비용 계산하는 방법?
https://www.sslcert.co.kr/faq/view/110

멀티도메인 인증서의 '추가도메인' 목록의 도메인 변경/삭제 가능하나요?
https://www.sslcert.co.kr/faq/view/73

멀티도메인(Multi-Domain) SSL 인증서에 도메인 추가시, 추가된 도메인의 만료일(기간) 은?
https://www.sslcert.co.kr/faq/view/60

CSR 생성시, SAN (Subject Alternative name, 주체 대체 이름) 포함 가능하나요?
https://www.sslcert.co.kr/faq/view/130



연관 SSL 인증서 상품

https://www.sslcert.co.kr/products
https://www.sslcert.co.kr/products/Sectigo/PositiveSSL-Multi-Domain-SSL-Certificate
https://www.sslcert.co.kr/products/Sectigo/PositiveSSL-Multi-Domain-Wildcard-SSL-Certificate





컨텐츠의 무단 전재/복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
bitSyrup 2023. All rights reserved.