2. 질의 응답
  3. SAML2 - 중간 인증서가있는 SP 업그레이드

SAML2 - 중간 인증서가있는 SP 업그레이드

2016-06-27 2 views
0

Shibboleth Service Provider (sp)에서 브라우저 방향 인증서를 업그레이드하려고합니다. 기존 설치에는 shibboleth2.xml 및 sp-metadata.xml의 단일 인증서가 있습니다.SAML2 - 중간 인증서가있는 SP 업그레이드

shibboleth2.xml :

<CredentialResolver type="Chaining"> 
    <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/> 
</CredentialResolver>

SP-metadata.xml가 :

<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> 
     <ds:KeyName>sp.com</ds:KeyName> 
     <ds:X509Data> 
      <ds:X509SubjectName>CN=sp.com,C=US</ds:X509SubjectName> 
     <ds:X509Certificate>ABCxyz 
        az1234 
     </ds:X509Certificate> 
    </ds:X509Data> 
</ds:KeyInfo>

shibboleth2.xml에 언급 된 파일 SP-cert.pem는 다음과 같이 구현에서 조각은 뭔가 다음과 같습니다.

-----BEGIN CERTIFICATE----- 
ABCxyz 
az1234 
-----END CERTIFICATE-----

이제는 domai가 포함 된 새 인증서를 생성했습니다. N 개의 sp.com 용 인증서 (SP-CERT-dom.pem) 및 중간 인증서 (SP-CERT-int.pem)은 뭔가가 다음과 같이

SP-CERT-dom.pem

-----BEGIN CERTIFICATE----- 
abcdef 
123456 
-----END CERTIFICATE-----

SP-CERT-int.pem

-----BEGIN CERTIFICATE----- 
UVWXYZ 
xa9900 
-----END CERTIFICATE-----

내가 함께 모두 한 하나의 파일로 인증서 (SP-cert1.pem) 다음과 같이

-----BEGIN CERTIFICATE----- 
abcdef 
123456 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
UVWXYZ 
xa9900 
-----END CERTIFICATE----- 

<CredentialResolver type="Chaining"> 
    <CredentialResolver type="File" key="sp-key1.pem" certificate="sp-cert1.pem"/> 
</CredentialResolver>

내가 가진 SP-metadata.xml을 업데이트하는 방법을 알아 내려고 붙어 있어요 그러나 : (210) 그럼 난 업데이트 한 shibboleth2.xml은 (변화에 대해 모든 이해 관계자에게 통보 한 후) 새 인증서를 가리 키도록 새로운 인증서. 이제 다음과 같은 질문이 있습니다 :

1. 도메인 및 중간 인증서 세부 정보를 모두 제공해야합니까, 아니면 도메인 인증서로 충분합니까?

2. 대답이 "both"인 경우 내 sp-metadata.xml은 다음 옵션 중 어떻게 표시되어야합니까?

(a) 동일한 ds:KeyInfo 요소에 대해 복수 ds:X509Certificate 요소.

<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> 
     <ds:KeyName>sp.com</ds:KeyName> 
     <ds:X509Data> 
      <ds:X509SubjectName>CN=sp.com,C=US</ds:X509SubjectName> 
     <ds:X509Certificate>abcdef 
        123456 
     </ds:X509Certificate> 
     <ds:X509Certificate>UVWXYZ 
        xa9900 
     </ds:X509Certificate> 
    </ds:X509Data> 
</ds:KeyInfo>

(b) 다중ds:KeyInfo 소자.

<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> 
     <ds:KeyName>sp.com</ds:KeyName> 
     <ds:X509Data> 
      <ds:X509SubjectName>CN=sp.com,C=US</ds:X509SubjectName> 
     <ds:X509Certificate>abcdef 
        123456 
     </ds:X509Certificate> 
    </ds:X509Data> 
</ds:KeyInfo> 
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> 
     <ds:KeyName>Symantec Class 3 Secure Server CA - G4</ds:KeyName> 
     <ds:X509Data> 
      <ds:X509SubjectName>CN=sp.com,C=US</ds:X509SubjectName> 
     <ds:X509Certificate>UVWXYZ 
        xa9900 
     </ds:X509Certificate> 
    </ds:X509Data> 
</ds:KeyInfo>

미리 감사드립니다.

추신 : 나는 Validating a signature without intermediate certificate을 조사했지만 내 질문에 명확한 답을 얻지 못했습니다.

출처

2016-06-27 POJO

답변

0

SP는 브라우저 인증서를 처리하지 않습니다. 브라우저 인증서 (및 키)는 Apache httpd [1] 또는 IIS [2]를 통해 관리됩니다. Shibboleth SP 소프트웨어에서 사용하는 키와 인증서는 일반적으로 공개 키를 저장하는 수단으로 만 사용되므로 일반적으로 자체 서명되므로 일반적으로 10-20 년 인증서입니다.

[1] https://httpd.apache.org/docs/2.4/ssl/
[2] https://technet.microsoft.com/en-us/library/cc732230(v=ws.10).aspx

출처

2016-06-29 01:30:35

관련 문제

 관련 문제