我的组织证书由于在特定日期之前发布的RapidSSL证书的浏览器不信任(Chrome / FF)而需要重新发布。参考:https://knowledge.digicert.com/generalinformation/INFO4627.html。
但是,我们有一个内部SSO设置(SAML 2.0),使用相同的证书与客户进行签名。我正在评估证书的吊销和重新发行是否会损害我们的SSO设置,并且必须将新的公钥传递给我们的客户。从我看到的结果来看,应该不会,因为证书实际上没有过期。我会看到它类似于使用自签名证书。我能正确解决这个问题吗?
答案 0 :(得分:2)
SAML2使用证书格式作为传递密钥的便捷方法。证书中的信任基于与Idp的直接配置关系,而不是通过公共CA Root系统。
这是关于证书的SAML2元数据必须说的:
作为一个具体示例,不考虑通过值或引用包含X.509证书的含义。依赖方可以自行决定是否强制执行其有效期,扩展名,吊销状态以及其他相关内容。
虽然它允许依赖方进行其他检查,但它既不需要也不保证任何此类检查都会通过。
通常,我会说继续使用证书应该没问题,但是您需要与配置的依赖方(以正常SAML2术语表示的服务提供商)确认他们没有验证证书。