SAML签名证书-哪种SSL证书类型？

Question

我们目前正在使用SAML 2.0开发SSL解决方案，到目前为止，一直使用自签名证书对XML请求进行签名。

但是，随着我们进入生产环境，我们希望使用来自证书颁发机构的证书。但我真的不确定应该购买哪种类型的证书，因为它们都是以网站为中心的。例如，单个域、通配符域等。

例如，我已经看过这些了：https://www.123-reg.co.uk/ssl-certificates/

当涉及到为网站购买SSL证书时，我是相当了解的。但是，由于证书只是用于对SAML请求进行签名，所以购买哪种类型的证书很重要吗？当然，它是否支持单个域或通配域是无关紧要的？

Answer 1

SAML中的证书仅用作处理签名和加密密钥的方便方法。密钥通常通过元数据交换，或者通过将证书安全地传输到SAML交换中涉及的各方来交换。因此，不需要能够使用公共机构验证证书。

SAML metadata specification (line 697)中也说明了这一点

本规范不支持此元素的允许或建议内容，也不支持其对依赖方的意义作为一个具体示例，不假定通过值或引用包含X.509证书的任何含义。其有效期、延期、撤销状态和其他相关内容可以执行也可以不执行，由依赖方自行决定。

因此，我将继续使用自签名证书。

但是，如果你想买一个证书，它应该有“数字签名”和“密钥加密”的用法。普通的SSL证书(至少我检查过的那些)确实包含这些用法。

“数字签名”的用法应该不言自明。“密钥加密”是因为证书中的密钥不是用于直接加密数据的。数据由适用于较大数据量的对称密钥算法加密。然后使用RSA密钥对该密钥进行加密(RSA适用于较小的数据，如加密密钥)。因此，RSA密钥用于加密/加密密钥。