SAML SP-Metadaten: Selbstsigniertes Zertifikat oder CA-Zertifikat, was ist die beste Vorgehensweise?

Question

Ich muss eine SAML-Implementierung in einem Projekt hinzufügen. Ich entschied mich für Spring SAML. Ich bin in der Lage, eine Service Provider-Metadatendatei zu generieren, und ich muss diese Datei an den IDP senden (dieser IDP verwendet ADFS), aber ich weiß nicht, ob ich einen automatisch signierten Schlüssel oder ein CA-signiertes Zertifikat für unseren SP erstellen sollte Metadaten-Datei. Nach dieser link ist die beste Vorgehensweise, ein selbstsigniertes Zertifikat (x509-Zertifikat) zu generieren. Aber ich habe auch einige Themen gefunden, die ein CA-signiertes Zertifikat empfehlen.

Aber ich kann nichts über die Spezifikationen finden.

Was ist die beste Praxis? Und wenn ich ein CA-signiertes Zertifikat verwenden soll, wie kann ich es erhalten?

Dank an alle

Answer 1

SAML2 verwendet Zertifikate nur als bequeme Möglichkeit, Signierung und Verschlüsselungsschlüssel zu behandeln. Die SAML2-Spezifikation besagt sogar, dass nicht angenommen werden kann, dass das Zertifikat nicht abgelaufen ist oder an einen relevanten Host-Namen vergeben wurde.

Das ist also, was die Spezifikation sagt. In Wirklichkeit verlangen einige IDP- oder SP-Operatoren, dass die Zertifikate gültig sind.

Ich würde vorschlagen, dass Sie mit dem Idp-Operator sprechen und fragen, ob sie irgendwelche Anforderungen haben. Wenn sie es nicht tun, gehen Sie für ein selbst unterzeichnetes Zertifikat.