【发布时间】:2016-06-24 20:53:08
【问题描述】:
我正在查看 SAML IdP 的元数据,它列出了三个唯一证书 - 2 个签名和 1 个加密。
...
<md:KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:KeyDescriptor use="encryption">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
...
我明白为什么它列出了签名和加密证书,但我如何确定在我的服务提供商中使用哪个签名证书?为什么有两个签名证书?
提前致谢!
【问题讨论】:
-
ADFS 例如有两个证书用于从次要到主要的翻转。有一段时间两者都有效。你可以使用任何一个。
标签: saml adfs shibboleth service-provider