这是问题:
使用 CA 证书保护 SAML 断言有什么好处吗?我了解在建立传输 SAML 断言的 SSL 连接时使用 CA 证书有什么好处,但是当 SP 接受 SAML 断言本身时发生的 PKI 握手的 CA 证书呢?我一方面争辩说,在 SAML 交换中,SP 无法通过信任链迭代到根 CA 证书,而另一方面,我有人说它可以。
如果您可以将我指向支持您的答案的权威来源,则可以加分。
问问题
207 次
2 回答
3
如果我对您的理解正确,您想知道在签署 SAML 断言时使用 CA 的证书签名是否有任何意义。
在我看来,你不应该需要这个。当您建立初始信任并交换元数据时,您可以在元数据中包含实体的公钥。如果您可以相信元数据的交换是安全的,您只需根据元数据中的公钥验证签名即可。
我看不出 CA 将如何为这种情况赋予任何价值。
于 2013-01-11T10:51:51.617 回答
0
我也同意。尽管在标准的 Shibboleth 元数据共享机制(联邦)中,整个发布的元数据块由联邦证书签名。因此,PKI 可能(并且可能)用于在安全合作伙伴之间分发服务和 IdP 元数据。但正如 Stefan 所写,用受信任的 CA 签署的证书签署断言是没有意义的
于 2013-03-08T11:39:36.730 回答