SAML-Signaturzertifikat - Welcher SSL-Zertifikatstyp?

Question

Wir entwickeln derzeit eine SSL-Lösung mit SAML 2.0 und haben bis jetzt selbstsignierte Zertifikate zum Signieren der XML-Anfragen verwendet.

Wenn wir jedoch in Produktion gehen, möchten wir ein Zertifikat von einer Zertifizierungsstelle verwenden. Aber ich bin nicht wirklich sicher, welche Art von Zertifikat zu kaufen, da sie alle Website-zentriert sind. Zum Beispiel einzelne Domain, Wildcard-Domain usw.

Zum Beispiel wurde bei dieser Suche: https://www.123-reg.co.uk/ssl-certificates/

ich ziemlich gut informiert bin, wenn es SSL-Zertifikate auf dem Kauf für eine Website kommt. Da das Zertifikat jedoch nur für das Signieren von SAML-Anfragen verwendet wird, spielt es eine Rolle, welcher Typ gekauft wurde? Sicher, ob es eine einzelne Domain oder Wildcard-Domain unterstützt ist irrelevant?

Answer 1

Zertifikate in SAML werden nur als bequeme Methode zum Verarbeiten der Signierungs- und Verschlüsselungsschlüssel verwendet. Die Schlüssel werden normalerweise entweder durch Metadaten oder durch eine sichere Übertragung des Zertifikats an die am SAML-Austausch beteiligten Parteien ausgetauscht. Daher ist es nicht notwendig, die Zertifikate mit einer Behörde zu validieren.

Dies spiegelt sich auch in der keine Position auf den zulässigen oder vorgeschlagenen Inhalt dieses Elements, noch auf seine Bedeutung zu Akzeptiere partyAs ein konkretes Beispiel Diese Spezifikation nimmt

SAML metadata specification (line 697) angegeben, eine keine Auswirkungen der Einbeziehung X.509 Zertifikat nach Wert oder Referenz ist anzunehmen. Seine Gültigkeit Zeitraum, Erweiterungen, Sperrstatus und andere relevante Inhalte oder nicht erzwungen werden, nach Ermessen des vertrauende

So kann ich würde nur ein selbst signiertes Zertifikat weiterhin verwenden.

Aber, wenn Sie ein Zertifikat kaufen möchten, sollte es "digitale Signatur" und "Schlüssel Verschlüsselung" Verwendungen. Normale SSL-Zertifikate (zumindest die, die ich überprüft habe) enthalten diese Verwendungen.

Die Verwendung der "digitalen Signatur" sollte selbsterklärend sein. Die "Schlüsselverschlüsselung" ist darauf zurückzuführen, dass der Schlüssel des Zertifikats nicht zur direkten Verschlüsselung der Daten verwendet wird. Die Daten werden durch einen symmetrischen Schlüsselalgorithmus verschlüsselt, der für größere Datengrößen geeignet ist. Dieser Schlüssel wird dann mit dem RSA-Schlüssel verschlüsselt (RSA eignet sich für kleinere Daten, z. B. einen Verschlüsselungsschlüssel). Somit wird der RSA-Schlüssel zum Verschlüsseln/Verschlüsseln eines Schlüssels verwendet.