我正在尝试生成 X.509 格式的私钥/公钥对以及我需要用于我的 SAML 应用程序的自签名证书。
这是我所做的:
.pem 格式。openssl rsa -in key.pem -pubout -out pubkey.pem
当我将这些密钥提供给我的 SAML 应用程序时,它会在第 2 步生成的公钥上出错,并显示以下消息:
java.io.IOException: Short read of DER length
我在这里做错了什么?
【问题讨论】:
问题:
我正在尝试生成 X.509 格式的私钥/公钥对以及我需要用于我的 SAML 应用程序的自签名证书。
回答:
(1) 在 Ubuntu 16.04 上,我运行以下原生 openssl 命令为 Shibboleth SAML SP 应用程序成功生成 X.509 格式的私钥/公钥对。
openssl genrsa -out key.pem 2048 -days 365
openssl req -new -key key.pem -out certreq.csr
openssl x509 -req -in certreq.csr -signkey key.pem -out cert.pem
(2) 我将 Shibboleth SAML SP 应用程序的生成的公共证书/密钥(即 cert.pem)上传到 Shibboleth SAML IdP。
(3) 我通过 Shibboleth SAML IdP 和 OpenLDAP 提供的身份验证成功登录到 Shibboleth SAML SP 应用程序。
备注:
(I) 请确保 IdP 或 SP 数据库为用于存储公共证书/密钥或私有密钥的类型定义足够的长度,例如 varchar(2500)。
(II) 如果您在 Windows 环境下运行 openssl 命令,请查看我对另一个 StackOverflow 问题 Git status ignore line endings / identical files / windows & linux environment / dropbox / mled 的回答,以从私钥和公共证书/密钥的末尾删除“premature EOF”。
(III) GitHub 存储库中的How to build and run Shibboleth SAML IdP and SP using Docker container 提供有关如何构建和运行 Shibboleth SAML IdP 和 SAML SP 测试平台以测试您的 SAML SP 应用程序的说明。
独立的 Shibboleth SAML IdP 测试平台允许您检查日志以调试您的证书问题。
【讨论】:
java.security.spec.InvalidKeySpecException: java.security.InvalidKeyException: IOException : Detect premature EOF。然而,这一次,公钥工作正常