SAML签名证书- CA签名与自签名

Question

我是SSO实现工程师，但最近发现要说服InfoSec团队使用自签名证书与CA签名证书来签署SAML断言是很困难的。

随着CA签署机构不再发放有效期超过1年的证书，每年在SP方面协调、引导和更新SAML证书已成为一项艰巨的任务。

我知道不需要CA证书来签署SAML断言，但我必须说服使用具有3年有效期的自签名证书或其他什么的。

1. 有哪些CA可以给我们3年认证SAML?

？

1. 如果不是1，有什么方法可以使InfoSec理解没有必要使用CA签名证书，但是自签名证书没有任何安全问题。寻求一些建议。

提前谢谢。

Answer 1

许多SAML2提供者使用自己的自签名证书来签署断言(例如Microsoft)。服务提供者的可靠性取决于证书的可信度，以决定是否信任断言是否有效。

非常重要的是，SP可以验证证书的真实性，并且只有IdP证书可以对断言进行签名(也就是说，其他人不可能提供“有效”断言)。

使用受信任的根签名证书，SP信任您的证书，因为他们信任根。使用自签名证书，SP信任您的证书，因为他们信任您的证书。区别是很重要的。

如果SP信任您的证书，因为他们信任根，那么如果证书是由受信任的根签名的，他们可能会信任坏蛋证书。一般来说，TLS连接有一个到多个关系，可信任的根围绕着它工作。我无法亲自验证我所访问的每个网站的证书，所以受信任的根为我做到了这一点。

在SP到IdP关系的情况下，可以验证IdP的证书。完全信任该证书是可能的。SP的管理员下载证书并将其添加到SP的配置中。SP应该配置为只信任该证书(自签名证书本质上成为CA，但是IdP可能有自己的CA)。

虽然信任自签名证书比信任根签名证书似乎有悖常理，但SP与IdP的一对一关系意味着可以通过直接从IdP配置页面获得证书来验证证书。

尽管如此，值得信任的根只签署短暂的证书是有原因的。同一证书使用的时间越长，它就越有可能被泄露(其他人可能会得到私钥)。