1. дома
  2. Вопрос и ответ
  3. Сертификат подписи SAML - какой тип сертификата SSL?

Сертификат подписи SAML - какой тип сертификата SSL?

2016-01-04 4 views
8

В настоящее время мы разрабатываем SSL-решение с использованием SAML 2.0 и до сих пор использовали самоподписанные сертификаты для подписи XML-запросов.Сертификат подписи SAML - какой тип сертификата SSL?

Однако, по мере перехода к производству, мы хотим использовать сертификат из центра сертификации. Но я не совсем уверен, какой тип сертификата купить, поскольку все они ориентированы на веб-сайты. Например, одного домена, подстановочные домена и т.д.

Например, смотрели на них: https://www.123-reg.co.uk/ssl-certificates/

Я довольно хорошо осведомлен, когда речь идет о покупке SSL сертификаты для веб-сайта. Однако, поскольку сертификат будет использоваться только для подписания запросов SAML, имеет ли значение какой тип приобретается? Несомненно, не поддерживает ли он один домен или подстановочный домен?

источник

2016-01-04 stevehayter

ответ

11

Сертификаты в SAML используются только как удобный способ обработки ключей подписи и шифрования. Ключи обычно обмениваются через метаданные или посредством какой-либо безопасной передачи сертификата сторонам, участвующим в обмене SAML. Таким образом, нет необходимости проверять сертификаты с государственным органом.

Это также указан в SAML metadata specification (line 697)

Данной спецификация не занимает никакой позиции по допустимому или предлагаемому содержанию этого элемента, ни по своему значению к Полагающей partyAs конкретного примеру, в настоящее время не последствие, включающие в себя X.509 Присвоить сертификат по значению или ссылке. Его действие период, расширение, статус аннулирования, а также другие соответствующие содержанию могут или не могут быть исполнены, на усмотрении проверяющей стороны

Так что я бы просто продолжать использовать самостоятельно подписанный сертификат.

Но, если вы хотите купить сертификат, он должен использовать «цифровую подпись» и «шифрование ключа». Обычные SSL-сертификаты (по крайней мере, те, что я проверил) содержат эти обычаи.

Использование «цифровой подписи» должно быть само собой разумеющимся. «Ключ-шифрование» объясняется тем, что ключ в сертификате не используется для прямого шифрования данных. Данные шифруются алгоритмом симметричного ключа, подходящим для больших размеров данных. Затем этот ключ шифруется ключом RSA (RSA подходит для небольших данных, таких как ключ шифрования). Таким образом, ключ RSA используется для шифрования/шифрования ключа.

источник

2016-01-04 11:47:34

+0

Спасибо Anders. Я видел этот параграф раньше, но это требование безопасности клиента, которое мы используем сертификат с сертификатом CA. Вы знаете, как вы можете получить сертификат, который имеет шифрование и подписывание? Имеет ли нормальный сертификат SSL это? – stevehayter

+1

Обновлен ответ. –

+0

Спасибо. Вы использовали старый, теперь неиспользованный обычный сертификат SSL от CA, и можете видеть, что он работает. Пойдет на получение бюджетного сертификата от ЦС в качестве компромисса :) – stevehayter

Смежные вопросы

 Смежные вопросы