使用 SAML 2.0 的自签名证书
Posted
技术标签:
【中文标题】使用 SAML 2.0 的自签名证书【英文标题】:Self-Signed Certificate with SAML 2.0 【发布时间】:2012-05-10 10:47:55 【问题描述】:是否可以使用自签名证书签署 SAML 2.0 帖子?我负责与使用 SAML 2.0 的供应商实施新的 SSO 程序,我们试图确定是否可以使用自签名证书签署 SAML 帖子,或者是否需要购买。
如果我们可以使用自签名证书,服务提供者是否需要做任何额外的步骤来验证签名?我们正在创建作为身份提供者的 SAML 2.0 帖子。
提前致谢。
【问题讨论】:
【参考方案1】:是的,我假设您的意思是对通过 POST 绑定返回的断言进行签名(请参阅SAML 2.0 Profiles,第 4.1.4.5 节)。 SAML 2.0 规范要求为 SSO 签名,但没有涉及 CA 签名与自签名的细节。
检查您的软件(IdP 和 SP 端)以了解支持的内容 - 有些在这方面存在限制。
【讨论】:
【参考方案2】:SAML 规范实际上建议您使用长期有效的自签名证书。请参阅this document 了解更多信息
【讨论】:
文档已移至here,但绝不是SAML 规范 这只是 InCommon 文档,它说他们的实现使用显式密钥信任模式。其他实现可能有其他建议,显式信任只是实现起来更简单 该文件谈到了服务提供商的自签名证书,问题是关于身份提供商的。以上是关于使用 SAML 2.0 的自签名证书的主要内容,如果未能解决你的问题,请参考以下文章
SAML SP 元数据:自签名证书或 CA 证书,最佳实践是啥?