我们目前正在开发使用SAML 2.0的SSL解决方案,并且到目前为止,一直在使用自签名证书来签署XML请求。
但是,在进入生产阶段时,我们希望使用来自证书颁发机构的证书。但是我不确定要购买哪种类型的证书,因为它们都是以网站为中心的。例如,单个域,通配符域等。
例如,一直在查看以下内容:https : //www.123-reg.co.uk/ssl-certificates/
在为网站购买SSL证书时,我非常了解。但是,由于该证书仅用于签署SAML请求,因此购买哪种类型无关紧要?确定它支持单个域还是通配符域无关紧要?
SAML中的证书仅用作处理签名和加密密钥的便捷方法。密钥通常通过元数据交换,或者通过将证书安全转移到SAML交换所涉及的各方进行交换。因此,不需要能够通过公共机构来验证证书。
SAML元数据规范(第697行)中也对此进行了说明
本规范不考虑该元素的允许或建议内容,也不依赖于依赖方。作为一个具体示例,不应假设通过值或引用包含X.509证书的含义。依赖方可以自行决定是否执行其有效期,扩展名,吊销状态以及其他相关内容
因此,我将继续使用自签名证书。
但是,如果您想购买证书,则应具有“数字签名”和“密钥加密”用法。普通SSL证书(至少我已经检查过的证书)确实包含这些用法。
“数字签名”用法应为自我解释。“密钥加密”是由于证书中的密钥不用于直接加密数据。通过适用于较大数据大小的对称密钥算法对数据进行加密。然后使用RSA密钥对该密钥进行加密(RSA适用于较小的数据,例如加密密钥)。因此,RSA密钥用于加密/加密密钥。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句