Spring SAML2 IdP-Zertifikat-Update

Question

Unser IdP aktualisiert das Zertifikat in seinen IdP-Metadaten.

Sie bieten einen Zeitraum von einem Monat an, in dem sowohl das alte als auch das neue Zertifikat gültig sind, so dass wir zu einem neuen Zertifikat wechseln können.

Das Problem ist, dass jedes Mal, wenn sie das Zertifikat aktualisiert haben, IdP-Metadaten, die neues Zertifikat enthalten, neu implementiert werden müssen und Ausfallzeiten eingeschlossen sind, die wir möglichst vermeiden (Serverneustart).

Meine Frage ist:

gibt es die Möglichkeit, neue IdP Metadatendatei ohne Neustart des Servers zu wechseln (Java-Anwendung in Tomcat 7)

Alternativ besteht die Möglichkeit, 2-Metadatendateien zu verwenden für gleicher IDP, eins mit neuem, eins mit altem Zertifikat, und in Laufzeit auf neues umstellen?

Answer 1

Sie können beide Signaturzertifikate in dieselben IDP-Metadaten aufnehmen. Spring SAML versucht, die Signatur einer eingehenden Nachricht mit allen verfügbaren Zertifikaten zu überprüfen, bis eine Übereinstimmung gefunden wird oder fehlschlägt. Zwei Dateien für denselben IdP funktionieren nicht.

Sie können das org.opensaml.saml2.metadata.provider.FilesystemMetadataProvider, die automatisch Metadaten neu geladen wird, wenn die ihre Konfigurationspunkte Datei aktualisiert wird - ohne Neustart der Anwendung.