我们目前正在使用 SAML 2.0 开发 SSL 解决方案,到目前为止,一直使用自签名证书来签署 XML 请求。
但是,当我们转向生产时,我们希望使用来自证书颁发机构的证书。但我不太确定要购买什么类型的证书,因为它们都是以网站为中心的。例如单域、通配符域等。
例如,一直在看这些:https://www.123-reg.co.uk/ssl-certificates/ https://www.123-reg.co.uk/ssl-certificates/
在为网站购买 SSL 证书方面,我相当了解。但是,由于证书仅用于签署 SAML 请求,因此购买哪种类型有关系吗?当然,它是否支持单个域或通配符域是无关紧要的吗?
SAML 中的证书仅用作处理签名和加密密钥的便捷方式。密钥通常通过元数据进行交换,或者通过将证书安全传输到参与 SAML 交换的各方来进行交换。因此,不需要能够通过公共机构来验证证书。
这也在SAML 元数据规范(第 697 行) https://www.oasis-open.org/committees/download.php/56786/sstc-saml-metadata-errata-2.0-wd-05-diff.pdf
本规范对该元素的允许或建议内容不持任何立场,也不
关于其对依赖方的含义作为一个具体示例,包含 X.509 没有任何影响
假设有价值证明或参考证明。其有效性
期限、延期、撤销状态和其他相关内容可能会
或可能不被执行,由依赖方自行决定
所以我会继续使用自签名证书。
但是,如果您想购买证书,它应该具有“数字签名”和“密钥加密”用途。普通的 SSL 证书(至少是我检查过的证书)确实包含这些用法。
“数字签名”的用法应该是不言自明的。 “密钥加密”是因为证书中的密钥不直接用于加密数据。数据通过适合较大数据量的对称密钥算法进行加密。然后使用 RSA 密钥对该密钥进行加密(RSA 适用于较小的数据,例如加密密钥)。因此,RSA 密钥用于加密/加密密钥。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
