使用Saml 2元数据管理滚动

Question

我们正在尝试为我们的SAML2服务提供商签名证书实现平滑的滚动。

我们已经在将来的转存日期创建了具有notBefore的新证书。这些证书与当前用于签署saml消息的证书一起在我们的元数据端点上公开。由于notBefore属性是将来的，因此它们尚未生效。当它们生效时，我们的服务提供商将开始使用它们。

然而，一些合作伙伴与他们的身份提供者有问题，他们抱怨新证书还没有生效。

因此，我的问题是:我们是否允许公开尚未生效的未来证书？如果没有，我们应该如何管理SAML2中的签名证书滚动？

Answer 1

不幸的是，SAML规范没有解决应该如何处理证书翻转的问题。因此，没有一致的方法。

您所做的似乎是合理的，但我也可以理解为什么有些合作伙伴会抱怨证书(尚未)无效。

一些提供商只需在证书滚动时更新其发布的SAML元数据。换句话说，元数据仅包含当前证书，而不包含任何过去或将来的证书。然后，这将责任放在合作伙伴身上，以确保他们监控元数据并立即切换证书。

当然，这并不总是可行的。根据我的经验，通常最好是与合作伙伴沟通，让他们知道证书将在某个日期滚动，并在该日期之前向他们提供新证书和/或元数据。合作伙伴应在转存日期前后的一段时间内处理由新旧证书生成的签名，以确保平稳过渡。在滚动日期，您还需要发布新的元数据。

您可能希望旧证书的NotAfter和新证书的NotBefore之间存在重叠。