2

假设我在 IDP 端有一个私钥证书。Idp 签署了 saml 响应并将其发送到 RP。RP 将使用 idp 的公钥证书对 saml 响应进行数字验证。我需要在RP的机器上安装idp的公钥证书和根证书来进行链信任吗??或者只需要安装ROOT证书

4

1 回答 1

2

是的,简而言之,必须在 RP 机器上安装根证书公钥才能获得有效的链信任。

如果使用 IdP 元数据配置 IdP 信任,则 IdP 签名证书会自动下载到 RP。因此,只需在 RP 机器上安装根证书公钥即可获得有效的链信任。

否则,如果 RP 不使用 IdP 元数据。RP 必须可访问 IdP 公钥(安装或作为文件),并且必须在 RP 机器上安装根证书公钥。

于 2019-02-21T08:57:37.410 回答