2016-01-04 18 views
8

Attualmente stiamo sviluppando una soluzione SSL utilizzando SAML 2.0 e fino ad ora abbiamo utilizzato i certificati autofirmati per firmare le richieste XML.Certificato di firma SAML: quale tipo di certificato SSL?

Tuttavia, mentre ci spostiamo in produzione, vogliamo utilizzare un certificato da un'autorità di certificazione. Ma non sono proprio sicuro del tipo di certificato da acquistare in quanto sono tutti centrati sul sito web. Ad esempio, singolo dominio, dominio con caratteri jolly, ecc

Ad esempio, sono state guardando queste: https://www.123-reg.co.uk/ssl-certificates/

Sono abbastanza informato quando si tratta di acquisto di certificati SSL per un sito web. Tuttavia, poiché il certificato verrà utilizzato per firmare le richieste SAML, è importante quale tipo è stato acquistato? Sicuramente se supporta un dominio singolo o un dominio jolly è irrilevante?

risposta

11

I certificati in SAML sono utilizzati solo come un modo conveniente per gestire le chiavi di firma e crittografia. Le chiavi vengono solitamente scambiate tramite metadati o tramite un trasferimento sicuro del certificato alle parti coinvolte nello scambio SAML. Pertanto, non è necessario essere in grado di convalidare i certificati con un'autorità pubblica.

Questo incollata anche la SAML metadata specification (line 697)

Questa specificazione non prende posizione sul contenuto ammissibile o suggerito di questo elemento, né sul suo significato a una partyAs contando un esempio concreto, alcuna implicazione di include X.509 certificato per valore o riferimento. La sua validità periodo, le estensioni, stato di revoca, e altri contenuti rilevanti possono o non possono essere applicate, a discrezione del relying party

Quindi vorrei solo continuare a utilizzare un certificato auto firmato.

Tuttavia, se si desidera acquistare un certificato, è necessario utilizzare "firma digitale" e "codifica chiave". I normali certificati SSL (almeno quelli che ho controllato) contengono quegli usi.

L'utilizzo della "firma digitale" deve essere auto esplicativo. La "cifratura della chiave" è dovuta al fatto che la chiave nel certificato non viene utilizzata per crittografare direttamente i dati. I dati sono crittografati da un algoritmo a chiave simmetrica adatto a dati di dimensioni maggiori. Tale chiave viene quindi crittografata con la chiave RSA (RSA è adatto per dati più piccoli, come una chiave di crittografia). Pertanto, la chiave RSA viene utilizzata per crittografare/cifrare una chiave.

+0

Grazie Anders. Ho visto quel paragrafo prima, ma è un requisito di sicurezza del client che usiamo un certificato firmato dalla CA. Sai come ottenere un certificato che abbia usi di crittografia e firma? Un normale certificato SSL ha questo? – stevehayter

+1

Aggiornamento della risposta. –

+0

Grazie. Hanno usato un vecchio certificato SSL normale non utilizzato da una CA e può vederlo funzionare. Andrà per un certificato di bilancio da una CA come compromesso :) – stevehayter