1

質問は次のとおりです。

CA証明書でSAMLアサーションを保護する利点はありますか? SAML アサーションが転送される SSL 接続を確立する際に CA 証明書を使用するとどのように役立つかは理解していますが、SP が SAML アサーション自体を受け入れるときに発生する PKI ハンドシェイクの CA 証明書についてはどうでしょうか? SAML交換内では、SPがルートCA証明書への信頼のチェーンを反復する方法はないと主張する一方、反対側ではできると言っている人がいます。

あなたの答えを裏付ける信頼できる情報源を教えていただければ、ボーナス ポイントです。

4

2 に答える 2

3

SAML アサーションに署名するときに、CA による証明書署名を使用することに意味があるかどうか疑問に思っていることを正しく理解しています。

私の意見では、これは必要ありません。最初の信頼を確立してメタデータを交換するときに、エンティティの公開鍵をメタデータに含めることができます。メタデータの交換が安全であると信頼できる場合は、メタデータの公開鍵に対して署名を検証するだけで済みます。

CA がこの状況に価値を与える方法がわかりません。

于 2013-01-11T10:51:51.617 に答える
0

私も同意します。標準のShibbolethメタデータ共有メカニズム(フェデレーション)では、公開されたメタデータブロック全体がフェデレーション証明書によって署名されます。したがって、PKIは、セキュリティパートナー間でサービスとIdPメタデータを配布するために使用される可能性があります(おそらく使用されます)。しかし、Stefanが書いたように、信頼できるCAによって署名された証明書を使用してアサーションに署名しても意味がありません

于 2013-03-08T11:39:36.730 に答える