SAML簽名證書 - 哪種SSL證書類型？

Question

我們目前正在開發一個使用SAML 2.0的SSL解決方案，直到現在，它一直使用自簽名證書來簽署XML請求。

但是，隨着我們轉向生產，我們希望使用來自證書頒發機構的證書。但我不確定要購買什麼類型的證書，因爲它們都是以網站爲中心的。例如，單域，通配符域等

例如，一直在尋找這些： https://www.123-reg.co.uk/ssl-certificates/

我相當懂行，當涉及到購買SSL證書的網站。但是，由於證書只是用於簽署SAML請求，因此購買哪種類型的產品是否重要？當然，它是否支持單個域或通配符域是無關緊要的？

Answer 1

SAML中的證書僅用作處理簽名和加密密鑰的便捷方式。密鑰通常通過元數據進行交換，或者通過將證書安全傳輸給SAML交換所涉及的各方。因此，不需要公共機構驗證證書。

這也是在SAML metadata specification (line 697)

說明本說明書不採取任何位置上這個元件的容許或推薦的內容，也不 上其含義給依賴partyAs一個具體的例子，包括不影響X.509 證書的價值或參考將被假定。它的有效性 期間，擴展，吊銷狀態和其他相關內容可以 ，也可以不執行，在依賴方

所以我只想繼續使用自簽名證書的決定。

但是，如果你想購買證書，它應該使用「數字簽名」和「密鑰加密」。普通的SSL證書（至少我檢查過的）確實包含這些用法。

「數字簽名」的用法應該是自我解釋。 「密鑰加密」是由於證書中的密鑰不用於直接加密數據。數據通過適用於更大數據大小的對稱密鑰算法進行加密。然後使用RSA密鑰對該密鑰進行加密（RSA適用於較小的數據，例如加密密鑰）。因此，RSA密鑰用於加密/加密密鑰。