鑑於目前已經有許多大型網站開始部署 SSL 證書,就不可避免地涉及到同一張 SSL 證書在多臺物理服務器 ( 物理設備 ) 上使用的問題,此情況是需要購買多服務器許可證的。爲了幫助廣大用戶理解多服務器許可證,特整理此文檔,敬請廣大用戶注意:一張 SSL證書只能用於一臺物理服務器,不可以在多臺服務器上使用;否則,會帶來法律風險和證書使用安全風險。
什麼是多服務器許可?有點類似於軟件的多臺電腦安裝許可,是指一張證書可以在多少臺服務器上使用。您在購買SSL證書時一定要告訴我們需要部署SSL證書的服務器的數量。具體規定如下:
(1) 如果用戶把購買的 SSL 證書同時在多於一臺服務器上使用,則需要購買服務器許可證來獲得許可在多臺服務器上部署(SSL證書是設計成一張證書只能同時在一臺服務器上使用的)
(2) 如果用戶在多臺服務器上使用一張證書而不購買服務器許可證,則屬於軟件盜版行爲而可能被起訴。
(3) 冗餘備份服務器許可證規定
WoSign 鼓勵用戶備份其證書文件和相應的私鑰文件到一個安全的地方。 WoSign 雖然不建議但允許用戶把證書和私鑰文件安裝到一臺沒有開機的“冷”備份服務器。如果用戶需要 (a) 在超過一臺“冷”備份服務器,或 (b) 一臺或多臺已經開機的“熱”備份服務器上安裝證書,則必須購買多服務器許可證。
(4) 服務器負載均衡許可證規定
(4.1) 動態主機名方式
WoSign 推薦採用兩種解決方案:一是獨立證書,爲每一個使用的動態主機名部署一個獨立證書。二是購買通配型證書,支持 *.domain.com, 不用關心實際主機是使用什麼子域。但請注意:通配型證書在多臺物理服務器上使用時也是要購買多服務器許可證的。
(4.2) 固定主機名方式
WoSign 推薦兩種解決方案:一是獨立證書,爲每一臺主機部署一個獨立證書(同一個域名) ,但請注意:在做 CSR 時在 OU 字段 ( 部門名稱 ) 寫上不同的主機標識,因爲 WoSign 不允許頒發全部信息都一樣的證書。二是購買多服務器許可證,由於服務器之間私鑰拷貝可能存在風險,所以此方案不如部署爲每臺服務器部署獨立證書。當然,好處是不用管理那麼多證書,一張帶有許可證的證書管理就方便許多。
(5) SSL 加速器許可證規定
如果使用 SSL 加速器 ( 許多負載均衡設備支持 SSL 加速功能 ) ,則要看 SSL 安全連接是在何處終止,如果 SSL 會話直接到服務器,則每臺服務都要購買一個服務器證書或多服務器許可。而如果 SSL 會話只到 SSL 加速器爲止而不到服務器,則一臺 SSL 加速器只需購買一張證書。但請注意:這時就存在從 SSL 加速器到服務器之間的傳輸沒有任何加密的風險。
考慮到許多用戶都是 (4) 和 (5) 方式的組合,可能許多負載均衡方案實際上是方案 (5) 的後一種,即直接在負載均衡設備上安裝 SSL 證書,只需購買一張證書即可。
(6) 虛擬主機許可證規定
WoSign 推薦部署多域名證書 ,此證書轉爲虛擬主機用戶設計,一張證書中支持 3-100 個不同域名,虛擬主機服務提供商可以把需要部署 SSL 證書的客戶集中到一臺服務器上,統一申請一張 超快SSL-多域型 證書即可。當然,此張證書只能部署在一臺物理服務器上,如果要部署到多臺服務器上,還是要購買多服務器許可證。 如果是大企業一個單位部署,則推薦購買 超真SSL - 多域型 證書 ,但其中證書中包含的域名必須都是同一個單位所擁有。
總之,一張 SSL 證書只能在一臺物理設備上使用,如果要在多臺設備上使用就要購買許可證,否則視爲軟件盜版和侵權行爲。現在,許多證書頒發機構都已經採取一些技術措施防止用戶不購買許可證而在多臺服務器上部署同一張證書。