Chứng chỉ SAN (Subject Alternative Name) là một loại chứng chỉ số X.509 được thiết kế để bảo mật nhiều tên miền, tên máy chủ, hoặc các định danh khác trong một chứng chỉ duy nhất. Điều này giúp đơn giản hóa việc quản lý chứng chỉ và giảm chi phí liên quan đến việc bảo mật nhiều tài nguyên trên internet. Hãy cùng VinaHost tìm hiểu sâu hơn về SAN qua bài viết “SAN là gì? SAN thường được sử dụng trong các trường hợp nào?” nhé!
1. SAN là gì?
SAN là từ viết tắt Subject Alternative Name là một loại chứng chỉ SSL/TLS đặc biệt cho phép bảo mật nhiều tên máy chủ hoặc tên miền dưới một chứng chỉ duy nhất. Các tên máy chủ khác nhau được liệt kê dưới dạng “Subject Alternative Names” (Tên thay thế cho chủ đề) trong chứng chỉ.
Chứng chỉ SAN còn được gọi bằng các tên khác như Chứng chỉ Truyền thông Hợp nhất (UCC), chứng chỉ đa miền và chứng chỉ Exchange, SANs SSl,…. Nhưng tất cả đều chỉ đến một khái niệm chung: một chứng chỉ duy nhất bảo vệ nhiều tên miền.
Sử dụng chứng chỉ này mang lại nhiều lợi ích cho các tổ chức và doanh nghiệp, đặc biệt trong việc quản lý và bảo mật các tài nguyên trực tuyến.
Lợi thế chính của chứng chỉ SAN là sự hợp nhất. Bạn không cần các chứng chỉ riêng biệt cho mỗi tên máy chủ hoặc tên miền bạn muốn bảo vệ, bởi vì một chứng chỉ có thể bảo mật tất cả.
Ví dụ, giả sử bạn quản lý một doanh nghiệp với các trang web và dịch vụ sau:
vinahost.vn
www.vinahost.vn
mail.vinahost.vn
api.vinahost.vn
Thay vì mua bốn chứng chỉ SSL riêng biệt cho từng tên miền, bạn có thể sử dụng một chứng chỉ SAN để bảo vệ tất cả chúng. Điều này không chỉ tiết kiệm chi phí mà còn giảm thiểu rủi ro quản lý và tăng cường bảo mật cho toàn bộ hệ thống.
Tuy nhiên, bạn cần lưu ý rằng:
- Chứng chỉ SAN thường đắt hơn so với chứng chỉ chỉ bảo vệ một tên miền duy nhất.
- Việc quản lý chứng chỉ SAN có thể phức tạp hơn so với việc quản lý chứng chỉ chỉ bảo vệ một tên miền duy nhất.
- Cần đảm bảo rằng tất cả các tên miền được liệt kê trong chứng chỉ SAN đều thuộc sở hữu của bạn.
2. Lợi ích của việc sử dụng SAN là gì?
Sử dụng chứng chỉ SAN mang lại nhiều lợi ích cho các tổ chức và doanh nghiệp, đặc biệt trong việc quản lý và bảo mật các tài nguyên trực tuyến:
Bảo mật nhiều tên miền và dịch vụ: Đây là lợi ích nổi bật nhất phải không nào? Chứng chỉ SAN cho phép bạn bảo mật nhiều tên miền và phụ tên miền (subdomain) trong một chứng chỉ duy nhất. Điều này rất hữu ích cho các tổ chức có nhiều trang web hoặc dịch vụ trực tuyến cần được bảo vệ.
Tiết kiệm chi phí: Thay vì phải mua và quản lý nhiều chứng chỉ riêng lẻ cho từng tên miền hoặc dịch vụ, bạn chỉ cần một chứng chỉ để bảo vệ tất cả, tiết kiệm đáng kể chi phí mua chứng chỉ và giảm chi phí quản lý.
Đơn giản hóa việc quản lý chứng chỉ: Sử dụng một chứng chỉ để bảo vệ nhiều tên miền giúp đơn giản hóa việc quản lý chứng chỉ như việc gia hạn, theo dõi và cập nhật chứng chỉ khi cần thiết.
Hỗ trợ nhiều địa chỉ IP và khóa riêng: Chứng chỉ SAN hỗ trợ các môi trường lưu trữ với nhiều địa chỉ IP khác nhau trên nhiều máy chủ.
Tăng cường bảo mật: Chứng chỉ SAN giúp đảm bảo rằng tất cả các tên miền và dịch vụ được bảo vệ bởi cùng một mức độ bảo mật cao. Tính năng này giúp ngăn ngừa các lỗ hổng bảo mật có thể xảy ra khi sử dụng nhiều chứng chỉ với các cấu hình bảo mật khác nhau.
Hỗ trợ linh hoạt cho các môi trường phức tạp: Chứng chỉ SAN có thể bao gồm nhiều loại định danh khác nhau, chẳng hạn như tên miền, địa chỉ IP và tên máy chủ. Nhờ đó, SAN rất hữu ích cho các môi trường phức tạp như hệ thống doanh nghiệp lớn, dịch vụ đám mây và các ứng dụng đa tầng.
Cải thiện hiệu suất: Không giống như chứng chỉ tên đơn truyền thống, chứng chỉ SAN có thể được cài đặt đồng thời trên nhiều máy chủ tùy theo nhu cầu. Việc sử dụng một chứng chỉ duy nhất để bảo vệ nhiều tên miền có thể giúp cải thiện hiệu suất của máy chủ, vì máy chủ không cần phải tải và quản lý nhiều chứng chỉ khác nhau.
Linh hoạt thay đổi tên: Bạn có thể tái cấp phát hoặc thay thế chứng chỉ này bất cứ lúc nào để thêm hoặc xóa các tên cần bảo mật.
Hỗ trợ tốt cho các ứng dụng phổ biến: Nhiều ứng dụng và dịch vụ phổ biến như Microsoft Exchange, Office Communications Server và các dịch vụ web hosting hỗ trợ sử dụng chứng chỉ SAN, giúp dễ dàng tích hợp và triển khai trong các môi trường này.
Xem thêm: SSL là gì? Làm thế nào nhận chứng chỉ bảo mật SSL miễn phí
3. Các loại SAN phổ biến
Ở phần này, VinaHost sẽ giới thiệu đến bạn các loại SAN phổ biến nhất hiện nay nhé.
Mỗi loại SAN có thể có những hạn chế và yêu cầu riêng, vì vậy việc lựa chọn loại nào phụ thuộc vào nhu cầu cụ thể của bạn. Ví dụ, nếu chỉ cần bảo mật trang web của mình, bạn chỉ cần một SAN tên miền, nhưng nếu cần bảo mật nhiều loại tài nguyên khác nhau, bạn có thể cần nhiều loại SAN khác nhau.
CHỨNG CHỈ SỐ GEOTRUST SSL Bảo mật Website với GeoTrust SSL Giá chỉ 270,000vnđ/năm | CHỨNG CHỈ SỐ SECTIGO SSL Bảo mật Website với Sectigo SSL Giá chỉ 200,000vnđ/năm |
3.1. DNS Name (Tên miền)
DNS Name – tên miền là loại SAN phổ biến nhất và được sử dụng rộng rãi để bảo mật nhiều tên miền hoặc tên miền phụ trong một chứng chỉ duy nhất. Điều này rất hữu ích cho các tổ chức có nhiều trang web hoặc dịch vụ cần được bảo vệ.
Ví dụ:
vinahost.vn
www.vinahost.vn
mail.vinahost.vn
DNS Name – tên miền được sử dụng phổ biến trong các trang web thương mại điện tử, hệ thống quản lý nội dung và dịch vụ email để đảm bảo rằng tất cả các tên miền liên quan đều được bảo mật dưới một chứng chỉ duy nhất.
Xem thêm: DNS là gì | Chức năng & Cách dùng của hệ thống phân giải tên miền 2024
3.2. IP Address (Địa chỉ IP)
Địa chỉ IP có thể được sử dụng làm SAN để bảo vệ các hệ thống hoặc dịch vụ dựa trên địa chỉ IP cụ thể. Điều này đặc biệt hữu ích cho các mạng nội bộ hoặc các dịch vụ không dựa trên tên miền.
Ví dụ:
192.168.1.1
10.0.0.1
Địa chỉ IP thường được sử dụng trong các mạng doanh nghiệp, dịch vụ VPN và các hệ thống quản lý từ xa, nơi các tài nguyên được xác định bằng địa chỉ IP thay vì tên miền.
3.3. Email Address (Địa chỉ email)
Địa chỉ email có thể được thêm vào SAN để bảo vệ các dịch vụ email. Điều này giúp đảm bảo rằng các email được gửi từ các địa chỉ này đều được bảo mật.
Ví dụ:
user@vinahost.vn
admin@vinahost.vn
Địa chỉ email phổ biến trong các hệ thống email doanh nghiệp và cá nhân, giúp đảm bảo rằng các email gửi đi từ các địa chỉ này được mã hóa và bảo mật.
Xem thêm: Email doanh nghiệp là gì? Các loại email doanh nghiệp tốt nhất 2024
3.4. URI (Uniform Resource Identifier)
URI (Uniform Resource Identifier) là một định danh thống nhất cho các tài nguyên trên internet hoặc trong một hệ thống cụ thể, có thể là URL hoặc URN. URI có thể đại diện cho bất kỳ tài nguyên nào như tài liệu, hình ảnh, video, hoặc dịch vụ web. URI giúp xác định rõ ràng và duy nhất một tài nguyên mà không phụ thuộc vào vị trí thực tế của tài nguyên đó.
URI trong SAN cho phép bảo mật các tài nguyên cụ thể được xác định bởi các định danh này.
Ví dụ:
https://vinahost.vn/resource
urn:vinahost:resource
URI được sử dụng trong các ứng dụng web và API, nơi các tài nguyên cụ thể cần được bảo mật. URI có thể đại diện cho bất kỳ tài nguyên nào trên internet hoặc trong một hệ thống cụ thể, giúp bảo mật các đường dẫn hoặc định danh tài nguyên quan trọng.
4. SAN thường được sử dụng trong các trường hợp nào?
Chứng chỉ SAN mang lại nhiều lợi ích bảo mật và tính linh hoạt, được sử dụng rộng rãi trong các tình huống yêu cầu bảo mật cao như xác thực máy chủ web, xác thực người dùng, bảo mật email và dịch vụ VPN.
4.1. Xác thực máy chủ web
Chứng chỉ SAN được sử dụng để bảo mật các trang web bằng cách xác thực máy chủ web. Nhờ vậy, chủ sở hữu website có thể đảm bảo rằng người dùng đang kết nối đến đúng máy chủ và các dữ liệu truyền tải giữa người dùng và máy chủ được mã hóa.
Ví dụ: Một chứng chỉ có thể bảo vệ cả vinahost.vn
và www.example.vn
, đảm bảo rằng cả hai tên miền đều an toàn và được xác thực.
Ứng dụng: SAN được sử dụng rộng rãi trong các trang web thương mại điện tử, cổng thông tin và các ứng dụng web để bảo vệ dữ liệu người dùng và xác thực máy chủ.
4.2. Xác thực người dùng
Chứng chỉ SAN cũng có thể được sử dụng để xác thực người dùng, đảm bảo rằng người dùng là hợp lệ. Từ đó, giúp bảo mật các hệ thống và dịch vụ yêu cầu xác thực mạnh mẽ.
Ví dụ: Một chứng chỉ có thể chứa các địa chỉ email hoặc định danh người dùng để xác thực khi đăng nhập vào hệ thống.
Ứng dụng: SAN phổ biến trong các hệ thống doanh nghiệp, dịch vụ tài chính và các ứng dụng yêu cầu bảo mật cao, nơi cần xác thực danh tính người dùng trước khi cho phép truy cập.
4.3. Bảo mật email
Chứng chỉ SAN có thể bảo vệ các dịch vụ email, đảm bảo rằng email được gửi và nhận an toàn. Điều này giúp mã hóa nội dung email và xác thực máy chủ gửi email.
Ví dụ: Một chứng chỉ SAN có thể bảo vệ cả mail.vinahost.vn
và smtp.vinahost.vn
, đảm bảo rằng cả dịch vụ gửi và nhận email đều an toàn.
Ứng dụng: SAn được sử dụng trong các hệ thống email doanh nghiệp, dịch vụ email đám mây và các ứng dụng yêu cầu bảo mật email để bảo vệ thông tin nhạy cảm và xác thực người gửi email.
4.4. VPN
Chứng chỉ SAN có thể được sử dụng trong các dịch vụ VPN (Virtual Private Network) để bảo mật các kết nối mạng. Điều này đảm bảo rằng dữ liệu truyền tải qua VPN được mã hóa và an toàn.
Ví dụ: Một chứng chỉ có thể bảo vệ nhiều địa chỉ IP và tên miền được sử dụng trong cấu hình VPN, đảm bảo rằng tất cả các kết nối đều được bảo mật.
Ứng dụng: SAN được ứng dụng phổ biến trong các doanh nghiệp sử dụng VPN để kết nối an toàn giữa các văn phòng, hoặc cho nhân viên làm việc từ xa kết nối vào mạng nội bộ của công ty một cách an toàn.
Xem thêm: VPN Là Gì? | Hướng Dẫn Cài Đặt và Sử Dụng VPN [A-Z]
5. Chi tiết kỹ thuật của chứng chỉ SAN
Chứng chỉ SAN là một chứng chỉ X.509 tiêu chuẩn, với phần mở rộng Subject Alternative Name được thêm vào để liệt kê các định danh bổ sung. Các phần chính của chứng chỉ này bao gồm:
- Chủ thể (Subject): Tên của thực thể được chứng thực bởi chứng chỉ (ví dụ, một tên miền cụ thể).
- Chủ thể thay thế (Subject Alternative Names): Danh sách các định danh bổ sung được bảo vệ bởi chứng chỉ, bao gồm tên miền, địa chỉ IP, địa chỉ email, và URI.
- Khóa công khai (Public Key): Khóa công khai của thực thể được chứng thực, được sử dụng để mã hóa dữ liệu và xác thực chữ ký số.
- Chữ ký số (Digital Signature): Chữ ký số của tổ chức phát hành chứng chỉ (CA) để đảm bảo tính toàn vẹn và xác thực của chứng chỉ.
Bây giờ, chúng ta sẽ đi sâu vào các chi tiết kỹ thuật về cách hoạt động của chứng chỉ SAN nhé:
- Số lượng tên được hỗ trợ: Chứng chỉ SAN có thể chứa tối đa 500 tên trong một chứng thư, bao gồm Tên chính (Common Name – CN) và các Tên thay thế của Chủ thể (Subject Alternative Names).
- Các loại tên được hỗ trợ:
- Tên miền đủ điều kiện (FQDN) ví dụ như www.domain.com và mail.domain.com.
- Ký tự đại diện cho tên miền (Wildcard) cũng được hỗ trợ, chẳng hạn như *.domain.com.
- Lưu ý, ký tự đại diện nhiều cấp (multi-level wildcard) như *.sub.domain.com không được phép. Ví dụ, *.example.com sẽ khớp với test.example.com nhưng không khớp với test.sub.example.com. Ký tự đại diện chỉ áp dụng cho một cấp độ tên miền phụ.
- Sử dụng đồng thời trên nhiều máy chủ: Chứng chỉ có thể được sử dụng đồng thời trên nhiều máy chủ tùy theo nhu cầu. Không có giới hạn kỹ thuật về việc sử dụng lại chứng chỉ.
- Thay đổi tên trên chứng chỉ: Tên trên chứng chỉ SAN có thể được thay đổi thông qua việc cấp lại chứng thư. Bạn không cần phải đợi đến ngày hết hạn.
- Cặp khóa công khai/riêng tư: Cặp khóa công khai/riêng tư của chứng chỉ SAN bảo mật tất cả các tên được bao gồm. Tuy nhiên, chứng chỉ có thể bao gồm nhiều địa chỉ IP khác nhau và được cài đặt với nhiều khóa riêng trên các máy chủ của bạn.
Để tạo một chứng chỉ SAN, bạn cần thực hiện các bước sau:
- Đầu tiên, bạn cần tạo một Yêu cầu Ký Chứng chỉ (Certificate Signing Request – CSR) bao gồm tất cả các tên miền cần bảo mật. Yêu cầu này có thể được tạo thông qua web server của bạn hoặc công cụ tạo CSR.
- Sau khi tạo CSR, bạn cần mua Chứng chỉ SAN từ một nhà cung cấp chứng thư uy tín (Certificate Authority – CA). Nhà cung cấp CA sẽ xác thực danh tính của bạn và cấp một chứng chỉ tin cậy chứa các Tên thay thế của Chủ thể (Subject Alternative Names) được cung cấp trong CSR.
- Sau khi được cấp, hãy tải xuống và cài đặt Chứng chỉ SAN trên tất cả các máy chủ web, máy chủ email, bộ cân bằng tải (load balancer)… của bạn. Chứng chỉ này sẽ bảo mật các kết nối đến bất kỳ tên miền nào được liệt kê trong đó.
- Khách truy cập trang web, người dùng email và các đối tác khác của bạn sẽ tin tưởng vào dấu hiệu bảo mật của chứng chỉ khi truy cập vào dịch vụ của bạn. Bất kỳ kết nối nào đến tên miền trong Chứng chỉ SAN đều được xác thực thành công và người dùng sẽ nhìn thấy biểu tượng ổ khóa đáng tin cậy trên trình duyệt.
- Bạn hãy lưu ý gia hạn và cập nhật chứng chỉ khi bạn thêm hoặc thay đổi tên miền. Nhờ sử dụng chứng chỉ này, quá trình này sẽ nhanh chóng và tiện lợi hơn so với việc quản lý từng chứng chỉ riêng biệt.
Hầu hết các trình duyệt web và máy chủ hiện đại đều hỗ trợ chứng chỉ này, ví dụ như Chrome, Firefox, Safari và Edge, cũng như các máy chủ web như Apache, Nginx và IIS. Khi một máy khách kết nối đến máy chủ sử dụng chứng chỉ SAN, máy chủ sẽ cung cấp chứng chỉ và danh sách các tên thay thế, cho phép máy khách xác thực đúng định danh mà nó đang kết nối đến.
6. Tổng kết
Hi vọng bài viết trên của VinaHost đã giúp bạn hiểu rõ SAN là gì cũng như các ứng dụng của chứng chỉ này trong thực tế. Bạn có thể xem thêm các bài viết thú vị khác tại đây và đừng ngại ngần liên hệ với VinaHost nếu cần hỗ trợ nhé!
- Email: support@vinahost.vn
- Hotline: 1900 6046
- Livechat: https://livechat.vinahost.vn/chat.php