Сертификат подписи SAML - какой тип сертификата SSL?

В настоящее время мы разрабатываем SSL-решение с использованием SAML 2.0, и до сих пор использовали самозаверяющие сертификаты для подписи XML-запросов.

Однако, когда мы переходим к производству, мы хотим использовать сертификат из центра сертификации. Но я не совсем уверен, какой тип сертификата купить, поскольку все они ориентированы на веб-сайты. Например, один домен, подстановочный домен и т.д.

Например, они смотрели на них: https://www.123-reg.co.uk/ssl-certificates/

Я достаточно осведомлен, когда речь заходит о покупке SSL-сертификатов для веб-сайта. Однако, поскольку сертификат будет использоваться только для подписания запросов SAML, имеет ли значение какой тип приобретается? Разумеется, не поддерживает ли он один домен или подстановочный домен?

Ответ 1

Сертификаты в SAML используются только как удобный способ обработки ключей подписи и шифрования. Обычно ключи передаются либо через метаданные, либо путем какой-либо безопасной передачи сертификата сторонам, участвующим в обмене SAML. Таким образом, нет необходимости проверять сертификаты в государственном органе.

Это также указано в спецификации метаданных SAML (строка 697).

В данной спецификации не указывается ни о допустимом или предлагаемом содержании этого элемента, ни о его значении для проверяющей стороны. В качестве конкретного примера не следует предполагать никаких последствий включения сертификата X.509 по значению или ссылке. Срок его действия, продления, статус отзыва и другой соответствующий контент могут применяться, а могут и не применяться, по усмотрению проверяющей стороны.

Поэтому я бы просто продолжил использовать самоподписанный сертификат.

Но если вы хотите купить сертификат, он должен иметь "цифровую подпись" и "шифрование ключей". Обычные сертификаты SSL (по крайней мере, те, которые я проверял) действительно содержат эти использования.

Использование "цифровой подписи" должно быть самоочевидным. "Шифрование ключей" связано с тем, что ключ в сертификате не используется для прямого шифрования данных. Данные зашифрованы с помощью алгоритма симметричного ключа, подходящего для больших объемов данных. Этот ключ затем шифруется с помощью ключа RSA (RSA подходит для небольших данных, таких как ключ шифрования). Таким образом, ключ RSA используется для шифрования/шифрования ключа.