Ha minden régi klienst és/vagy olyan protokollt is támogatnod, amiben nincs SNI (Server Name Indication - kiterjesztés az SSL/TLS-hez, hogy a kliens el tudja küldeni, ő milyen címen találta meg a gépet, hogy a szerver az ahhoz a címhez érvényes certet tudja az arcába tolni), akkor egy naaaagy cert, subjectAltName-ben felsorolva minden.
Ha elég az SNI-képes dolgokkal foglalkoznod (XP+IE6 fölött ill. Android 4.0 fölött gyakorlatilag minden), akkor külön tanúsítvány / domain név.
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)