我们目前正在使用SAML 2.0开发SSL解决方案,到目前为止,一直使用自签名证书对XML请求进行签名。
但是,当我们转向生产时,我们希望使用证书颁发机构的证书。但我不确定要购买哪种类型的证书,因为它们都是以网站为中心的。例如,单域,通配符域等
例如,一直在看这些: https://www.123-reg.co.uk/ssl-certificates/
在购买网站的SSL证书时,我非常了解。但是,由于证书仅用于签署SAML请求,因此购买哪种类型是否重要?当然它是否支持单个域或通配符域是无关紧要的?
答案 0 :(得分:13)
SAML中的证书仅用作处理签名和加密密钥的便捷方式。密钥通常通过元数据进行交换,或者通过将证书安全地转移到SAML交换中涉及的各方来进行交换。因此,没有必要能够使用公共权限来验证证书。
SAML metadata specification (line 697)
中也说明了这一点此规范对此元素的允许或建议内容没有任何定位,也没有 关于它对依赖方的意义作为一个具体的例子,没有包含X.509的含义 按价值或参考证明。它的有效性 期间,扩展,撤销状态和其他相关内容可以 或依赖方酌情决定不执行
所以我会继续使用自签名证书。
但是,如果你想购买证书,它应该有"数字签名"和#34;密钥加密"用法。正常的SSL证书(至少我已经检查过的证书)确实包含这些用法。
"数字签名"用法应该是自我解释的。 "密钥加密"是由于证书中的密钥不用于直接加密数据。数据通过适用于较大数据大小的对称密钥算法加密。然后使用RSA密钥加密该密钥(RSA适用于较小的数据,例如加密密钥)。因此,RSA密钥用于加密/加密密钥。