SAML签名证书 - 哪种SSL证书类型?

时间:2016-01-04 10:16:37

标签: ssl ssl-certificate saml saml-2.0

我们目前正在使用SAML 2.0开发SSL解决方案,到目前为止,一直使用自签名证书对XML请求进行签名。

但是,当我们转向生产时,我们希望使用证书颁发机构的证书。但我不确定要购买哪种类型的证书,因为它们都是以网站为中心的。例如,单域,通配符域等

例如,一直在看这些: https://www.123-reg.co.uk/ssl-certificates/

在购买网站的SSL证书时,我非常了解。但是,由于证书仅用于签署SAML请求,因此购买哪种类型是否重要?当然它是否支持单个域或通配符域是无关紧要的?

1 个答案:

答案 0 :(得分:13)

SAML中的证书仅用作处理签名和加密密钥的便捷方式。密钥通常通过元数据进行交换,或者通过将证书安全地转移到SAML交换中涉及的各方来进行交换。因此,没有必要能够使用公共权限来验证证书。

SAML metadata specification (line 697)

中也说明了这一点
  

此规范对此元素的允许或建议内容没有任何定位,也没有   关于它对依赖方的意义作为一个具体的例子,没有包含X.509的含义   按价值或参考证明。它的有效性   期间,扩展,撤销状态和其他相关内容可以   或依赖方酌情决定不执行

所以我会继续使用自签名证书。

但是,如果你想购买证书,它应该有"数字签名"和#34;密钥加密"用法。正常的SSL证书(至少我已经检查过的证书)确实包含这些用法。

"数字签名"用法应该是自我解释的。 "密钥加密"是由于证书中的密钥不用于直接加密数据。数据通过适用于较大数据大小的对称密钥算法加密。然后使用RSA密钥加密该密钥(RSA适用于较小的数据,例如加密密钥)。因此,RSA密钥用于加密/加密密钥。