我们的IdP正在更新其IdP元数据中的证书。
他们提供一个月的期限,其中旧证书和新证书都有效,以便我们可以切换到新证书。
问题是,无论何时更新证书,我们都必须重新部署包含新证书的IdP元数据,并且包括我们希望尽可能避免的停机时间(服务器重启)。
我的问题是:
是否有可能在没有服务器重启的情况下切换到新的IdP元数据文件(在Tomcat 7中运行Java应用程序)
或者,是否有可能为同一个IdP使用2个元数据文件,一个使用新的,一个使用旧证书,并在运行时切换到新的?
答案 0 :(得分:0)
您可以在同一IDP元数据中包含两个签名证书。 Spring SAML将尝试使用所有可用证书验证传入消息上的签名,直到找到匹配或失败。同一个IdP的两个文件将不起作用。
您可以使用 org.opensaml.saml2.metadata.provider.FilesystemMetadataProvider ,当配置指向的文件得到更新时,它会自动重新加载元数据 - 无需重启应用程序。