1

Используя shibboleth в Linux, я представляю сервис, который использует SAML для широкой публики. Ранее я использовал самоподписанный сертификат, поскольку весь трафик SAML был внутренним.

Используя тот же ключ, я сделал CSR и получил новый блестящий сертификат, подписанный соответствующим CA.

Мой вопрос, в Сибболете, что нужно для этого изменения? Из того, что я мало знаю, SAML на самом деле не использует цепочку подписей. Новые и старые сертификаты имеют одинаковую подпись MD5 после сравнения с:

openssl x509 -noout -modulus -in server.crt| openssl md5

Конфигурация Shibboleth описывает процедуру переноса ключей дешифрования , но я предполагаю, что сертификат подписи этим не покрывается.

Я надеюсь услышать, что я могу просто добавить новый сертификат, но если нет, то, что я должен обновить и где - например, мне нужно каждое приложение, которое подключается, чтобы получить обновленные метаданные, например.

Заранее спасибо за вашу мудрость!

0