Spring SAML2 IdP证书更新

时间:2017-11-21 13:50:23

标签: spring saml-2.0 spring-saml

我们的IdP正在更新其IdP元数据中的证书。

他们提供一个月的期限,其中旧证书和新证书都有效,以便我们可以切换到新证书。

问题是,无论何时更新证书,我们都必须重新部署包含新证书的IdP元数据,并且包括我们希望尽可能避免的停机时间(服务器重启)。

我的问题是:

是否有可能在没有服务器重启的情况下切换到新的IdP元数据文件(在Tomcat 7中运行Java应用程序)

或者,是否有可能为同一个IdP使用2个元数据文件,一个使用新的,一个使用旧证书,并在运行时切换到新的?

1 个答案:

答案 0 :(得分:0)

您可以在同一IDP元数据中包含两个签名证书。 Spring SAML将尝试使用所有可用证书验证传入消息上的签名,直到找到匹配或失败。同一个IdP的两个文件将不起作用。

您可以使用 org.opensaml.saml2.metadata.provider.FilesystemMetadataProvider ,当配置指向的文件得到更新时,它会自动重新加载元数据 - 无需重启应用程序。