问题描述
我们正在尝试为我们的 saml 2 服务提供商签名证书实现平滑翻转。
我们在未来的更新日期创建了带有 notBefore 的新证书。这些证书与当前用于签署 saml 消息的证书一起在我们的元数据端点上公开。它们还不是有效的,因为 notBefore 属性是未来的。我们的服务提供商将在它们生效后开始使用它们。
但是,一些合作伙伴在与他们的身份提供商抱怨新证书尚未有效时遇到了问题。
所以我的问题如下:我们是否允许公开未来尚未有效的证书?如果没有,我们应该如何管理 saml 2 中的签名证书翻转?
解决方法
遗憾的是,SAML 规范并未说明应如何处理证书翻转。因此,没有一致的方法。
您所做的似乎是合理的,但我也能理解为什么有些合作伙伴会抱怨证书(尚未)有效。
一些提供商只是在证书更新时更新他们发布的 SAML 元数据。换句话说,元数据仅包含当前证书,而不包含任何过去或未来的证书。然后,合作伙伴有责任确保他们监控元数据并立即切换证书。
当然,这并不总是可行的。根据我的经验,通常最好与合作伙伴沟通证书将在特定日期滚动并在该日期之前向他们提供新证书和/或元数据。合作伙伴应在滚动日期前后的一段时间内处理由新证书或旧证书生成的签名,以确保顺利过渡。在转存日期,您还将发布新的元数据。
您可能希望旧证书的 NotAfter 和新证书的 NotBefore 重叠。