Я работаю на стороне Idp SSO Saml 2 и в качестве IdP мы должны отправить утверждение в SP, и оно будет инициировано IdP. В утверждении с именем x509 указано поле. Мой первый вопрос заключается в том, что этот открытый открытый ключ или открытый ключ, подписанный центром сертификации (центром сертификации)? И мой второй вопрос заключается в том, что если это открытый ключ, подписанный ЦС, тогда было бы безопасно быть самоподписанным или лучше подписаться реальным ЦС? И мой третий вопрос заключается в том, что лучше ли мы предоставлять SP с метаданными Idp или более безопасно иметь сертификат в любом запросе на утверждение или, возможно, оба? СпасибоИспользование самозаверяющего сертификата для утверждения Saml 2
ответ
Я предполагаю, что вы имеете в виду сертификат X.509, встроенный в подпись XML, содержащуюся в утверждении SAML. Если это так, это сертификат X.509, кодированный базой 64, который может использоваться для проверки подписи XML. Это необязательно, но обычно включается.
Вы должны использовать сертификат, выданный СА. У SP есть доверительные отношения с вашим IdP. Сертификат, выданный ЦС, гарантирует, что это ваш ИДФ, а не кто-то, кто подделывает вас, кто подписал и отправил утверждение SAML.
Обычно вы предоставляете SP ваши метаданные, содержащие ваш сертификат. SP будет использовать этот сертификат для проверки ваших подписей XML. Однако, как я уже сказал, нет никакого вреда, включая сертификат в XML-подписи, хотя это маловероятно, что это будет использоваться для фактической проверки подписи.
- 1. Использование самозаверяющего сертификата
- 2. Повторное использование утверждения SAML
- 3. Подмена самозаверяющего сертификата для доверенного сертификата?
- 4. Использование самозаверяющего сертификата с .NET HttpWebRequest/Response
- 5. Использование создания самозаверяющего сертификата в WCF
- 6. Использование утверждения SAML в XSD
- 7. Использование самозаверяющего сертификата для программного обеспечения для подписи кода
- 8. Использование криптографической библиотеки узла для создания самозаверяющего сертификата?
- 9. установка самозаверяющего сертификата Linux yocto
- 10. Создание исключения безопасности для самозаверяющего сертификата
- 11. Spring SAML - поддержка индивидуального утверждения SAML
- 12. Обработка ошибок самозаверяющего сертификата при использовании chrome.sockets.tcp.secure
- 13. Выполнение утверждения SAML
- 14. Принятие утверждения SAML 1.1
- 15. Использование самозаверяющего сертификата с Safari и websockets (osx/ios)
- 16. SSL с использованием самозаверяющего сертификата над Node.js
- 17. Добавление самозаверяющего сертификата в приложение Heroku
- 18. Проверка моего самозаверяющего сертификата с openSSL
- 19. Как продлить срок действия самозаверяющего сертификата
- 20. Как ограничить доступ с помощью самозаверяющего сертификата?
- 21. IIS Ошибка самозаверяющего сертификата - «Неверный параметр»
- 22. Ошибка: ssl3_get_server_certificate: проверка сертификата не удалась при использовании самозаверяющего сертификата
- 23. Подтверждение Подтверждения для утверждения SAML в Wso2IS
- 24. Java-код для создания зашифрованного утверждения SAML
- 25. Настроить HostNameVerifier для нескольких хостов и самозаверяющего сертификата
- 26. Легкий способ создания самозаверяющего сертификата для java.security.Keystore с использованием BouncyCastle
- 27. Где находится магазин доверия в JBOSS для самозаверяющего сертификата?
- 28. Невозможно использовать IP-адрес в Node.js для самозаверяющего сертификата
- 29. Захват утверждения SAML в TFIM
- 30. Тип сертификата, используемый для SAML Подпись
Спасибо, если мы предоставляем SP с использованием защищенного канала (например, USB), все еще нужно для стороннего ЦС, или мы можем просто его самостоятельно подписать? – iman
Это действительно решение для бизнеса. Я по-прежнему считаю, что вы должны использовать сертификат, выданный CA. Самоподписанные сертификаты предназначены исключительно для тестирования. CA выдал сертификаты не так дорого. – ComponentSpace
Я не вижу причины использовать сертификат с сертификатом CA, если вы обмениваете сертификаты на безопасный канал. Единственная причина использовать CA - проверить достоверность сертификата. Если вы сделаете это, сравнив его с ранее обмененным, нет необходимости проверять его с помощью CA и, следовательно, вообще не нужно для CS. –