负载均衡如何部署SSL证书?什么是SSL证书多服务器许可证?
鉴于目前已经有许多大型网站开始部署 SSL 证书,就不可避免地涉及到同一张 SSL证书在多台物理服务器 ( 物理设备 ) 上使用的问题,此情况是需要购买多服务器许可证的。为了帮助广大用户理解多服务器许可证,特整理此文档,敬请广大用户注意:一张 SSL证书只能用于一台物理服务器,不可以在多台服务器上使用;否则,会带来法律风险和证书使用安全风险。
什么是多服务器许可?有点类似于软件的多台电脑安装许可,是指一张证书可以在多少台服务器上使用。您在购买SSL证书时一定要告诉我们需要部署SSL证书的服务器的数量。具体规定如下:
(1) 如果用户把购买的 SSL 证书同时在多于一台服务器上使用,则需要购买服务器许可证来获得许可在多台服务器上部署(SSL证书是设计成一张证书只能同时在一台服务器上使用的)
(2) 如果用户在多台服务器上使用一张证书而不购买服务器许可证,则属于软件盗版行为而可能被起诉。
(3) 冗余备份服务器许可证规定
WoSign 鼓励用户备份其证书文件和相应的私钥文件到一个安全的地方。 WoSign 虽然不建议但允许用户把证书和私钥文件安装到一台没有开机的“冷”备份服务器。如果用户需要 (a) 在超过一台“冷”备份服务器,或 (b) 一台或多台已经开机的“热”备份服务器上安装证书,则必须购买多服务器许可证。
(4) 服务器负载均衡许可证规定
(4.1) 动态主机名方式
WoSign 推荐采用两种解决方案:一是独立证书,为每一个使用的动态主机名部署一个独立证书。二是购买通配型证书,支持 *.domain.com, 不用关心实际主机是使用什么子域。但请注意:通配型证书在多台物理服务器上使用时也是要购买多服务器许可证的。
(4.2) 固定主机名方式
WoSign 推荐两种解决方案:一是独立证书,为每一台主机部署一个独立证书(同一个域名) ,但请注意:在做 CSR 时在 OU 字段 ( 部门名称 ) 写上不同的主机标识,因为 WoSign 不允许颁发全部信息都一样的证书。二是购买多服务器许可证,由于服务器之间私钥拷贝可能存在风险,所以此方案不如部署为每台服务器部署独立证书。当然,好处是不用管理那么多证书,一张带有许可证的证书管理就方便许多。
(5) SSL 加速器许可证规定
如果使用 SSL 加速器 ( 许多负载均衡设备支持 SSL 加速功能 ) ,则要看 SSL 安全连接是在何处终止,如果 SSL 会话直接到服务器,则每台服务都要购买一个服务器证书或多服务器许可。而如果 SSL 会话只到 SSL 加速器为止而不到服务器,则一台 SSL 加速器只需购买一张证书。但请注意:这时就存在从 SSL 加速器到服务器之间的传输没有任何加密的风险。
考虑到许多用户都是 (4) 和 (5) 方式的组合,可能许多负载均衡方案实际上是方案 (5) 的后一种,即直接在负载均衡设备上安装 SSL 证书,只需购买一张证书即可。
(6) 虚拟主机许可证规定
WoSign 推荐部署多域名证书 ,此证书转为虚拟主机用户设计,一张证书中支持 3-100 个不同域名,虚拟主机服务提供商可以把需要部署 SSL 证书的客户集中到一台服务器上,统一申请一张 超快SSL-多域型 证书即可。当然,此张证书只能部署在一台物理服务器上,如果要部署到多台服务器上,还是要购买多服务器许可证。 如果是大企业一个单位部署,则推荐购买 超真SSL - 多域型 证书 ,但其中证书中包含的域名必须都是同一个单位所拥有。
总之,一张 SSL 证书只能在一台物理设备上使用,如果要在多台设备上使用就要购买许可证,否则视为软件盗版和侵权行为。现在,许多证书颁发机构都已经采取一些技术措施防止用户不购买许可证而在多台服务器上部署同一张证书。所以, WoSign 在用户购买合同上有一条明确条款: 甲方(用户)购买的 SSL 证书只能在 x 台 物理设备(物理服务器)上使用,不得在多于此数量的其它设备(服务器)上 安装此 SSL 证书,否则证书颁发系统随时有可能自动检测到违反此使用限制行为而自动吊销此 SSL 证书,使得甲方的 SSL 证书失效,乙方(沃通)对此情况不负任何责任。”。
。