Shibboleth Service Provider (sp)에서 브라우저 방향 인증서를 업그레이드하려고합니다. 기존 설치에는 shibboleth2.xml 및 sp-metadata.xml의 단일 인증서가 있습니다.SAML2 - 중간 인증서가있는 SP 업그레이드
이shibboleth2.xml :
이<CredentialResolver type="Chaining">
<CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/>
</CredentialResolver>
SP-metadata.xml가 :
이<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:KeyName>sp.com</ds:KeyName>
<ds:X509Data>
<ds:X509SubjectName>CN=sp.com,C=US</ds:X509SubjectName>
<ds:X509Certificate>ABCxyz
az1234
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
shibboleth2.xml에 언급 된 파일 SP-cert.pem는 다음과 같이 구현에서 조각은 뭔가 다음과 같습니다.
-----BEGIN CERTIFICATE-----
ABCxyz
az1234
-----END CERTIFICATE-----
이제는 domai가 포함 된 새 인증서를 생성했습니다. N 개의 sp.com 용 인증서 (SP-CERT-dom.pem) 및 중간 인증서 (SP-CERT-int.pem)은 뭔가가 다음과 같이
SP-CERT-dom.pem
-----BEGIN CERTIFICATE-----
abcdef
123456
-----END CERTIFICATE-----
SP-CERT-int.pem
-----BEGIN CERTIFICATE-----
UVWXYZ
xa9900
-----END CERTIFICATE-----
내가 함께 모두 한 하나의 파일로 인증서 (SP-cert1.pem) 다음과 같이
-----BEGIN CERTIFICATE-----
abcdef
123456
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
UVWXYZ
xa9900
-----END CERTIFICATE-----
<CredentialResolver type="Chaining">
<CredentialResolver type="File" key="sp-key1.pem" certificate="sp-cert1.pem"/>
</CredentialResolver>
내가 가진 SP-metadata.xml을 업데이트하는 방법을 알아 내려고 붙어 있어요 그러나 : (210) 그럼 난 업데이트 한 shibboleth2.xml은 (변화에 대해 모든 이해 관계자에게 통보 한 후) 새 인증서를 가리 키도록 새로운 인증서. 이제 다음과 같은 질문이 있습니다 :
1. 도메인 및 중간 인증서 세부 정보를 모두 제공해야합니까, 아니면 도메인 인증서로 충분합니까?
2. 대답이 "both"인 경우 내 sp-metadata.xml은 다음 옵션 중 어떻게 표시되어야합니까?
(a) 동일한 ds:KeyInfo
요소에 대해 복수 ds:X509Certificate
요소.
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:KeyName>sp.com</ds:KeyName>
<ds:X509Data>
<ds:X509SubjectName>CN=sp.com,C=US</ds:X509SubjectName>
<ds:X509Certificate>abcdef
123456
</ds:X509Certificate>
<ds:X509Certificate>UVWXYZ
xa9900
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
(b) 다중ds:KeyInfo
소자.
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:KeyName>sp.com</ds:KeyName>
<ds:X509Data>
<ds:X509SubjectName>CN=sp.com,C=US</ds:X509SubjectName>
<ds:X509Certificate>abcdef
123456
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:KeyName>Symantec Class 3 Secure Server CA - G4</ds:KeyName>
<ds:X509Data>
<ds:X509SubjectName>CN=sp.com,C=US</ds:X509SubjectName>
<ds:X509Certificate>UVWXYZ
xa9900
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
미리 감사드립니다.
추신 : 나는 Validating a signature without intermediate certificate을 조사했지만 내 질문에 명확한 답을 얻지 못했습니다.