【发布时间】:2014-04-04 18:09:42
【问题描述】:
从 ADFS 和 ADFS 2.0 的角度来看,是否可以注册使用不是由签名机构颁发的证书(公钥)的服务提供商元数据?我的意思是自签名证书。
【问题讨论】:
标签: certificate saml saml-2.0 adfs2.0 federation
【发布时间】:2014-04-04 18:09:42
【问题描述】:
是的 - 您可以为 SP 使用自签名证书,该证书反映在 SP 元数据中。
因此您可以使用 Java keytool 等生成它。
还要确保您在一段合理的时间内生成证书 - 至少一年,否则您将不得不在 ADFS 端不断更新元数据。
【讨论】:
它不应该像以下文档中描述的那样 - Certificate Requirements for Federation Servers 在确定您的 CA 策略部分中
“ADFS 不要求证书由 CA 颁发。但是,SSL 证书(默认情况下也用作服务通信证书的证书)必须被 ADFS 客户端信任。我们建议您不要使用这些证书类型的自签名证书。”
【讨论】: