目前,我正在使用Kentor.AuthServices在我的MVC应用程序中实现单点登录。该配置包含两个元素 - < signingCertificate>和< serviceCertificates>,它似乎指向本地计算机上的X.509证书。
现在我猜这些证书与为SSL安装的证书不同?文档将这些称为“签名”证书。到目前为止,我见过的唯一链接似乎是为了制作自己的“自签名”证书。我想这些不能用于实时应用程序?如果没有,我该如何获得这样的证书呢?
答案 0 :(得分:3)
AuthServices配置中有两个地方包含证书。
signingCertificate是一个证书,它引用Idp用于签署其创建的SAML2断言的证书。最简单的方法是让AuthServices将其作为Idp元数据的一部分加载,但如果不可能,则可以下载证书并进行配置。您只需要此证书的公钥(通常是.cer文件)。 Idp应该保证它的私钥安全。
serviceCertificate是另一种方式 - 这就是AuthServices用来签署传出请求的方式(如果需要,在简单的设置中它不是)。 SAML2包含它自己的分发证书的方式(通过元数据),因此自签名证书通常会这样做。
答案 1 :(得分:0)
签名证书是证书,其目的标志设置为允许其用于代码签名。普通的SSL / TLS服务器证书通常没有设置该标志。您可以从(大多数)销售服务器证书的CA获得签名证书,但代码签名证书的价格(和文书工作)通常是不同的。