假设我在IDP端拥有私钥证书。 Idp签署了saml响应并将其发送给RP。 RP将使用idp的公钥证书对saml响应进行数字验证。 为了链式信任,我需要在RP的计算机上安装idp的公钥证书和根证书吗?或只需要安装ROOT证书
答案 0 :(得分:1)
是的,简而言之,必须在RP计算机上安装根证书公共密钥才能获得有效的链信任。
如果使用IdP元数据配置了IdP信任,则IdP签名证书将自动下载到RP。因此,仅需在RP机器上安装根证书公共密钥即可获得有效的链信任。
否则,如果RP不使用IdP元数据。 RP必须可访问IdP公共密钥(已安装或作为文件),并且RP机器上必须安装了根证书公共密钥。