我对元数据(我的SP)中生成的证书有疑问。我们的IdP说,当我更改证书时,我可以将其发布到元数据中,例如作为中学前20天。比IdP可以加载,设置信任和(例如,到期前5天)我的SP切换从次要到主要。
是否可以将某些证书设为辅助证书?我怎么能这样做?
我认为更改证书是一个非常常见的问题,但我没有找到有关元数据中证书层次结构的信息。
我们使用spring security saml v1.0.1
谢谢!
修改
我向我的extendedMetadata添加了另一个属性,并向spDescriptor添加了另一个KeyDescriptor然后它可以工作 - 它生成带有usageType SIGNING的两个证书的元数据,并且ADFS服务器能够加载它。 请注意,您不能在元数据中使用多个加密密钥(如果您使用ADFS - 我不知道任何其他IdP的情况)
但新问题出现了。我必须签署我的元数据,我发现如果属性名称为
`<property name="signingKey" value="alias"/>`
为空(证书已旧,我不想使用它),元数据未签名。 我可以使用我的自定义属性,如
<property name="signingKeySecondary" value="alias2" />
签署元数据?