【发布时间】:2012-05-10 10:47:55
【问题描述】:
是否可以使用自签名证书签署 SAML 2.0 帖子?我负责与使用 SAML 2.0 的供应商实施新的 SSO 程序,我们试图确定是否可以使用自签名证书签署 SAML 帖子,或者是否需要购买。
如果我们可以使用自签名证书,服务提供者是否需要做任何额外的步骤来验证签名?我们正在创建作为身份提供者的 SAML 2.0 帖子。
提前致谢。
【问题讨论】:
标签: certificate self-signed saml-2.0
【发布时间】:2012-05-10 10:47:55
【问题描述】:
是的,我假设您的意思是对通过 POST 绑定返回的断言进行签名(请参阅SAML 2.0 Profiles,第 4.1.4.5 节)。 SAML 2.0 规范要求为 SSO 签名,但没有涉及 CA 签名与自签名的细节。
检查您的软件(IdP 和 SP 端)以了解支持的内容 - 有些在这方面存在限制。
【讨论】:
SAML 规范实际上建议您使用长期有效的自签名证书。请参阅this document 了解更多信息
【讨论】:
-
文档已移至here,但绝不是SAML 规范
-
这只是 InCommon 文档,它说他们的实现使用显式密钥信任模式。其他实现可能有其他建议,显式信任只是实现起来更简单
-
该文件谈到了服务提供商的自签名证书,问题是关于身份提供商的。