SAML-Signaturzertifikat - Welcher SSL-Zertifikatstyp?

9

Wir entwickeln derzeit eine SSL-Lösung mit SAML 2.0 und haben bis jetzt selbstsignierte Zertifikate zum Signieren der XML-Anfragen verwendet.

Wenn wir jedoch in Produktion gehen, möchten wir ein Zertifikat von einer Zertifizierungsstelle verwenden. Aber ich bin nicht wirklich sicher, welche Art von Zertifikat zu kaufen, da sie alle Website-zentriert sind. Zum Beispiel eine einzelne Domain, eine Wildcard-Domain usw.

Zum Beispiel haben wir uns diese angeschaut: Ссылка

Ich bin ziemlich gut informiert, wenn es darum geht, SSL-Zertifikate für eine Website zu kaufen. Da das Zertifikat jedoch nur für das Signieren von SAML-Anfragen verwendet wird, spielt es eine Rolle, welcher Typ gekauft wurde? Sicher, ob es eine einzelne Domain oder Wildcard-Domain unterstützt ist irrelevant?

    
stevehayter 04.01.2016, 10:16
quelle

1 Antwort

11

Zertifikate in SAML werden nur als bequeme Methode zur Handhabung der Signierungs- und Verschlüsselungsschlüssel verwendet. Die Schlüssel werden normalerweise entweder durch Metadaten oder durch eine sichere Übertragung des Zertifikats an die am SAML-Austausch beteiligten Parteien ausgetauscht. Daher ist es nicht notwendig, die Zertifikate mit einer öffentlichen Berechtigung zu validieren.

Dies wird auch in der SAML-Metadaten-Spezifikation (Zeile 697)

  

Diese Spezifikation nimmt keine Stellung zum zulässigen oder vorgeschlagenen Inhalt dieses Elements   zu seiner Bedeutung für eine vertrauende Partei Als ein konkretes Beispiel, keine Implikationen der Aufnahme eines X.509   Zertifikat nach Wert oder Referenz ist anzunehmen. Seine Gültigkeit   Zeitraum, Erweiterungen, Sperrstatus und andere relevante Inhalte können   oder nicht durchgesetzt werden, im Ermessen der vertrauenden Partei

Ich würde also weiterhin ein selbstsigniertes Zertifikat verwenden.

Aber, wenn Sie ein Zertifikat kaufen möchten, sollte es "digitale Signatur" und "Schlüsselverschlüsselung" verwenden. Normale SSL-Zertifikate (zumindest die, die ich überprüft habe) enthalten diese Verwendungen.

Die Verwendung der "digitalen Signatur" sollte selbsterklärend sein. Die "Schlüsselverschlüsselung" ist darauf zurückzuführen, dass der Schlüssel des Zertifikats nicht zur direkten Verschlüsselung der Daten verwendet wird. Die Daten werden durch einen symmetrischen Schlüsselalgorithmus verschlüsselt, der für größere Datengrößen geeignet ist. Dieser Schlüssel wird dann mit dem RSA-Schlüssel verschlüsselt (RSA eignet sich für kleinere Daten, z. B. einen Verschlüsselungsschlüssel). Daher wird der RSA-Schlüssel zum Verschlüsseln / Verschlüsseln eines Schlüssels verwendet.

    
Anders Abel 04.01.2016, 11:47
quelle

Tags und Links