由于浏览器不信任(Chrome/FF)在特定日期之前颁发的 RapidSSL 证书,我有一个组织证书需要重新颁发。引用:https://knowledge.digicert.com/generalinformation/INFO4627.html .
但是,我们有一个内部 SSO 设置 (SAML 2.0),使用相同的证书与我们的客户进行签名。我正在评估证书的撤销和重新颁发是否会危及我们的 SSO 设置,并且新的公钥是否必须传递给我们的客户。据我所知,它不应该,因为证书实际上没有过期。我认为它类似于使用自签名证书。我这样做正确吗?
最佳答案
SAML2 使用证书格式作为传送 key 的便捷方式。对证书的信任基于与 Idp 的直接配置关系,而不是通过公共(public) CA 根系统。
这是 SAML2 元数据关于证书的内容:
As a concrete example, no implications of including an X.509 certificate by value or reference are to be assumed. Its validity period, extensions, revocation status, and other relevant content may or may not be enforced, at the discretion of the relying party.
虽然它允许依赖方进行额外的检查,但它既不要求也不保证任何此类检查都会通过。
一般来说,我会说继续使用证书应该没问题,但您需要向您配置的依赖方(通常 SAML2 术语中的服务提供商)确认他们没有验证证书。
关于ssl - 已撤销/重新颁发的证书是否仍可用于 SAML 签名?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53509045/