스프링 SAML2 IdP 인증서 업데이트

Question

IdP는 IdP 메타 데이터에서 인증서를 업데이트 중입니다.

그들은 새로운 인증서로 전환 할 수 있도록 기존 인증서와 새 인증서가 유효 할 기간을 1 개월 동안 제공합니다.

문제는 인증서를 업데이트 할 때마다 새 인증서가 포함 된 IdP 메타 데이터를 재배포해야하며 가능하면 회피해야하는 다운 타임 (서버 재시작)이 포함되어야한다는 것입니다.

내 질문은 :

는 또한

(자바 응용 프로그램은 톰캣 7에서 실행) 서버를 다시 시작하지 않고 새로운 IdP가 메타 데이터 파일로 전환 할 가능성이있다, 2 개 메타 데이터 파일을 사용할 가능성이있다 새로운 IdP, 이전 인증서가있는 IdP, 런타임에서 새 인증서로 전환 할 수 있습니까?

Answer 1

동일한 IDP 메타 데이터에 두 서명 인증서를 모두 포함 할 수 있습니다. 샘 SAML은 일치하는 메시지를 찾거나 실패 할 때까지 사용 가능한 모든 인증서를 사용하여 들어오는 메시지의 서명을 확인하려고 시도합니다. 동일한 IdP에 대해 두 개의 파일이 작동하지 않습니다.

org.opensaml.saml2.metadata.provider.FilesystemMetadataProvider을 사용하면 응용 프로그램을 다시 시작하지 않고 구성 포인트가 업데이트 될 때 메타 데이터를 자동으로 다시로드합니다.