鉴于目前已经有许多大型网站开始部署 SSL 证书，就不可避免地涉及到同一张 SSL 证书在多台物理服务器 ( 物理设备 ) 上使用的问题，此情况是需要购买多服务器许可证的。为了帮助广大用户理解多服务器许可证，特根据  VeriSign 有关文档整理此文档，敬请广大用户 不要 听信个别不负责任的 Sales 口头承诺允许一张 SSL 证书可以在多台服务器上使用，其实是不允许的，会带来法律风险和证书使用安全风险。

     请同时参考 VeriSign 的 英文 PDF 文档， VeriSign/Thawte/GeoTrust/WoSign 等所有品牌 SSL 证书都遵循此多服务器许可证制度，本中文翻译整理文档仅介绍 VeriSign 的规定。

     首先，让大家认识一下什么是多服务器许可，您在 VeriSign 网站申请 SSL 证书时会显示如下图所示选项：


     要求您输入此张证书在几台服务器上使用，缺省为 1 台。点击“ Enter number of server licenses ”后的问号就有帮助解释什么是服务器许可：如果您有多台服务器在负载均衡或服务器备份中使用同一域名，您可以购买一张带多服务器许可的证书。

     具体详细有关服务器许可规定文档，请浏览 VeriSign 网站：
http://www.verisign.com/ssl/ssl-information-center/ssl-licensing/index.html 和 PDF 文档 《 Licensing VeriSign Certificates - Securing Multiple Web Server and Domain Configurations 》 ，详细有关许可证方面信息，请参考：

     •  Certification Practice Statement (CPS) — www.verisign.com/repository/cps 认证业务规则；

     •  End User Subscriber Agreement — www.verisign.com/repository/subscriber/SUBAGR.html . 最终用户协议，使用 VeriSign SSL 证书必须遵守此协议；

     •  VeriSign ISP Program Agreement — www.verisign.com/repository/isp/agree_isp.html . 此协议规定了所有代理商都必须遵守此协议；

     •  VeriSign Secured™ Seal Agreement — www.verisign.com/repository/sslicense_agree.html . 此协议规定了使用 VeriSign 安全签章必须遵守此协议；

     现摘录和翻译部分重要内容如下，

(1) To use their SSL Certificate on more than one server at a time, subscribers must have purchased the specific licensing option that permits the use of an SSL Certificate on multiple servers. (SSL Certificates are designed for use on one server at a time.) (P.4)

如果用户把购买的 SSL 证书同时在多于一台服务器上使用，则需要购买服务器许可证来获得许可在多台服务器上部署 (SSL 证书是设计成一张证书只能同时在一台服务器上使用的 )

(2) If an organization would like to use a certificate in multiple instances or for another organization, in some cases, certificate sharing without the appropriate VeriSign license may also expose an enterprise to charges of software piracy. When offering shared certificates, ISPs sometimes charge end-user merchants or other subscribers for use of VeriSign SSL Certificates and the SSL capabilities enabled by its deployment. This practice allows the ISP to profit from the VeriSign service (the SSL Certificate) without paying the required VeriSign fee, and is considered software piracy. VeriSign strictly prohibits this and similar practices and will pursue violators to the full extent of the law. (P.4)

如果用户在多台服务器上使用一张证书而不购买服务器许可证，则属于软件盗版行为而可能被起诉。而代理商如何收了客户的许可证费用但不支付给 VeriSign ，这是非常严重的软件盗版行为而会受到最大可能的起诉。

(3) 冗余备份服务器许可证规定 Redundant Server Backups - Licensing Policy

VeriSign encourages customers to make one backup copy of the certificate and associated private key and store them both in a secure location. Although not recommended by VeriSign (due to the increased risk of private key compromise described herein), it is also permissible for the customer to maintain the backup copies of the certificate and associated private key on one cold standby server. If the customer requires backup copies on (a) more than one cold standby server or (b) one or more hot standby servers, the customer must purchase additional licenses using the Licensed Certificate Option described at left. (P.7)

VeriSign 鼓励用户备份其证书文件和相应的私钥文件到一个安全的地方。 VeriSign 虽然不建议但允许用户把证书和私钥文件安装到一台没有开机的“冷”备份服务器。如果用户需要 (a) 在超过一台“冷”备份服务器，或 (b) 一台或多台已经开机的“热”备份服务器上安装证书，则必须购买多服务器许可证。

(4) 服务器负载均衡许可证规定 Server Load Balancing -- Licensing Policy

(4.1) 动态主机名方式 Dynamic Hostname Configuration

VeriSign recommends either unique certificates or wildcard certificates for dynamic hostname configurations:

• Unique certificates —VeriSign recommends customers purchase individual certificates for dynamic hostname configurations. If the configuration contains more than five physical servers, VeriSign recommends Managed PKI for SSL. Managed PKI for SSL allows customers to conveniently manage multiple SSL certificates and provides discounted pricing for volume purchases.

• Wildcard certificates—If individual certificates are not an option, VeriSign offers wildcard certificates. A wildcard certificate is a special form of certificate that contains an asterisk in the hostname portion of the certificate's common name (for example, *.mycompany.com ). This allows the certificate to secure multiple physical servers with different hostnames. Customers must purchase wildcard certificate licenses based on the number of unique hostnames in their dynamic hostname configurations.

VeriSign 推荐采用两种解决方案：一是独立证书，为每一个使用的动态主机名部署一个独立证书，推荐购买 VeriSign 的 Managed PKI for SSL ，可以自己管理颁发证书。二是购买通配型证书，支持 *.domain.com, 不用关心实际主机是使用什么子域。但请注意：通配型证书在多台物理服务器上使用时也是要购买多服务器许可证的。

(4.2) 唯一固定主机名方式 Identical Hostname Configuration

VeriSign recommends either unique certificates or the Licensed Certificate option for configurations where there are multiple physical servers, all of which share the same hostname:

• Unique certificates—Create a different certificate for each different server. Because good PKI practices (and VeriSign internal policies) prohibit the issuance of two certificates with exactly the same name, VeriSign recommends that each certificate have the same common name and the same organizational name, but a different organizational unit.

• Licensed Certificate Option —The Licensed Certificate Option allows the customer to obtain additional licenses to use the certificate on multiple servers with the identical Common Name. Due to the increased risk of private key compromise associated with copying certificates and private keys from server to server, this option is less secure than deploying unique certificates per server.

VeriSign 推荐两种解决方案：一是独立证书，为每一台主机部署一个独立证书 ( 同一个域名 ) ，但请注意：在做 CSR 时在 OU 字段 ( 部门名称 ) 写上不同的主机标识，因为 VeriSign 不允许颁发全部信息都一样的证书。二是购买多服务器许可证，由于服务器之间私钥拷贝可能存在风险，所以此方案不如部署为每台服务器部署独立证书。当然，好处是不用管理那么多证书，一张带有许可证的证书管理就方便许多。

(5) SSL 加速器许可证规定 SSL Acceleration -- Licensing Policy

Regardless of whether SSL session data terminates at or before the Web server, if the SSL
accelerator contains a certificate pointing to multiple servers, the customer must use the
Licensed Certificate Option to purchase additional licenses for each additional server the
SSL accelerator is pointing to in the server farm.

如果使用 SSL 加速器 ( 许多负载均衡设备支持 SSL 加速功能 ) ，则要看 SSL 安全连接是在何处终止，如果 SSL 会话直接到服务器，则每台服务都要购买一个服务器证书或多服务器许可。而如果 SSL 会话只到 SSL 加速器为止而不到服务器，则一台 SSL 加速器只需购买一张证书。但请注意：这时就存在从 SSL 加速器到服务器之间的传输没有任何加密的风险。

考虑到许多国内用户都是 (4) 和 (5) 方式的组合，可能许多负载均衡方案实际上是方案 (5) 的后一种，即直接在负载均衡设备上安装 SSL 证书，只需购买一张证书即可。

(6)  虚拟主机许可证规定 Shared Hosting -- Licensing Policy

VeriSign 文档中的解决方案是虚拟主机服务提供商提供子域证书，或为某个子目录加密，但由于证书是颁发给虚拟主机服务提供商的，有法律风险。

     推荐 WoSign 解决方案： 超快SSL - 多域名证书 ，此证书转为虚拟主机用户设计，一张证书中支持 3-100 个不同域名，虚拟主机服务提供商可以把需要部署 SSL 证书的客户集中到一台服务器上，统一申请一张证书即可。当然，此张证书只能部署在一台物理服务器上，如果要部署到多台服务器上，还是要购买多服务器许可证。 如果是大企业一个单位部署，则推荐购买 超真SSL - 多域名证书 ，但其中证书中包含的域名必须都是同一个单位所拥有。

     总之，一张 SSL 证书只能在一台物理设备上使用，如果要在多台设备上使用就要购买许可证，否则视为软件盗版和侵权行为。现在，许多证书颁发机构都已经采取一些技术措施防止用户不购买许可证而在多台服务器上部署同一张证书。所以， WoSign 在用户购买合同上有一条明确条款： 甲方 ( 用户 ) 购买的 SSL 证书只能在 _x_ 台 物理设备 ( 物理服务器 ) 上使用，不得在多于此数量的其它设备 ( 服务器上 ) 安装此 SSL 证书，否则证书颁发系统随时有可能自动检测到违反此使用限制行为而自动吊销此 SSL 证书，使得甲方的 SSL 证书失效，乙方 ( 沃通 ) 对此情况不负任何责任。”。同时请用户“ 参考数字证书颁发机构的最终用户协议 (Subscriber Agreement) 和认证业务规则 (CPS) 来了解有关具体产品规范”。

。