現在、SAML 2.0を使用してSSLソリューションを開発しており、これまではXML署名に署名するために自己署名証明書を使用してきました。SAML署名証明書 - どのSSL証明書タイプですか?
ただし、本番環境に移行するにあたり、認証局の証明書を使用したいと考えています。しかし、私は本当にすべてのウェブサイトを中心に購入する証明書の種類はわかりません。例えば、単一のドメイン、ワイルドカードドメインなど
例えば、これらを見てきた: https://www.123-reg.co.uk/ssl-certificates/
それはウェブサイトのSSL証明書を購入することになると私はかなり精通してんです。ただし、証明書がSAML要求に署名するために使用されるだけなので、購入するタイプは重要ですか?単一ドメインまたはワイルドカードドメインをサポートするかどうかは関係ありませんか?
SAMLの証明書は、署名と暗号化キーを処理する便利な方法としてのみ使用されます。鍵は、通常、メタデータによって交換されるか、SAML交換に関与する当事者に証明書を安全に転送することによって交換されます。したがって、公的機関で証明書を検証できる必要はありません。
これ
もこの仕様は頼らpartyAsにその意味で、具体的な例を、この要素の許容や提案内容に一切の位置を取らず、また SAML metadata specification (line 697)は、だから私はただの自己署名証明書を使用し続けると証明書利用者の裁量で、施行してもしなくてもよいです。に記載されている、を含むのない意味合いませんX.509 値または参照による証明書が想定されます。その妥当性 期間、拡張子は、失効状態、およびその他の関連するコンテンツが または
しかし、証明書を購入する場合は、「デジタル署名」と「鍵暗号化」の使用が必要です。通常のSSL証明書(少なくとも確認したもの)には、そのような使用法が含まれています。
「デジタル署名」の使用法は、自明である必要があります。 「鍵暗号化」は、証明書の鍵がデータを直接暗号化するために使用されないためである。データは、より大きなデータサイズに適した対称鍵アルゴリズムによって暗号化されます。その鍵はRSA鍵で暗号化されます(RSAは暗号鍵などのより小さいデータに適しています)。したがって、RSA鍵は、鍵を暗号化/暗号化するために使用される。
ありがとうアンダーズ。私は前にその段落を見ましたが、それは私たちがCA署名証明書を使用するクライアントのセキュリティ要件です。どのように暗号化と署名の使用方法を持つ証明書を得ることができるか分かりますか?通常のSSL証明書にはこれがありますか? – stevehayter
答えを更新しました。 –
ありがとうございます。 CAの古い未使用の通常のSSL証明書を使用しており、動作していることがわかります。妥協としてCAから予算証明書を取得します:) – stevehayter