SAML2 IDP的签名证书更新-如何生存?

2020-08-23 20:04发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

我们面临的挑战是我们的中央公司SAML2 IDP的签名证书将被续签。 自从我们开始将SAML2用于我们的SAP系统环境以来,这是第一次。

SAML2服务提供者配置通常会将IDP的签名证书保留在其配置中,以便能够验证IDP信息的真实性。 现在,在更改IDP证书的确切时间点上,对于所有(也许是40个?)服务提供商,如果不进行完全同步的配置更改,我们如何能在更新中幸免? 不幸的是,我找不到有关此过程的任何信息。

这可能会有所帮助:我们的IDP签名证书已(将要)由我们的CA签名。

到目前为止我们发现的内容:

AS ABAP: 我们相信,可以通过将RootCA和SubCA的证书导入" SSF SAML2服务提供商-S" PSE的证书列表来解决此问题。 。 我们对系统执行了此操作,并删除了旧的IDP证书,并且SAML2仍在工作。 我们以此表示,只要新的IDP证书也由同一CA签署,我们就可以幸免于IDP更改。
此假设是否正确?

AS JAVA: 我们猜测我们可以通过将RootCA和SubCA的证书导入到SAML2密钥存储视图中,以与AS ABAP类似的方式解决此问题 。 我们需要验证。
这是正确的方法吗? 我们需要注意哪些细节?

SCP身份验证服务(IAS): 。"企业IDP配置"部分中只有一个唯一的签名证书。
是否可以通过IAS进行无故障转换? 如果可以,那么如何?

非常感谢!

干杯,卢茨

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

我们面临的挑战是我们的中央公司SAML2 IDP的签名证书将被续签。 自从我们开始将SAML2用于我们的SAP系统环境以来,这是第一次。

SAML2服务提供者配置通常会将IDP的签名证书保留在其配置中,以便能够验证IDP信息的真实性。 现在,在更改IDP证书的确切时间点上,对于所有(也许是40个?)服务提供商,如果不进行完全同步的配置更改,我们如何能在更新中幸免? 不幸的是,我找不到有关此过程的任何信息。

这可能会有所帮助:我们的IDP签名证书已(将要)由我们的CA签名。

到目前为止我们发现的内容:

AS ABAP: 我们相信,可以通过将RootCA和SubCA的证书导入" SSF SAML2服务提供商-S" PSE的证书列表来解决此问题。 。 我们对系统执行了此操作,并删除了旧的IDP证书,并且SAML2仍在工作。 我们以此表示,只要新的IDP证书也由同一CA签署,我们就可以幸免于IDP更改。
此假设是否正确?

AS JAVA: 我们猜测我们可以通过将RootCA和SubCA的证书导入到SAML2密钥存储视图中,以与AS ABAP类似的方式解决此问题 。 我们需要验证。
这是正确的方法吗? 我们需要注意哪些细节?

SCP身份验证服务(IAS): 。"企业IDP配置"部分中只有一个唯一的签名证书。
是否可以通过IAS进行无故障转换? 如果可以,那么如何?

非常感谢!

干杯,卢茨

付费偷看设置
发送
2条回答
SAP小黑
1楼-- · 2020-08-23 20:54

嘿Lutz,

通常,每个IdP和SP都应具有添加主要和辅助签名证书的选项。 如果无法使用主SP验证签名,它将使用辅助签名证书重新尝试进行验证。 更多

使用PKI签名的签名证书很少,但可以。 我相信,由于成功进行了链验证,SP可能没有像使用自签名证书时那样直接导入IDP签名证书。 不幸的是,我不能肯定地说,但这是"应该"做的。 如果SCP IAS(代理)不支持辅助签名证书,那么这对您没有帮助,但是也许还有一个密钥库可以上传CA链,并且具有与其他SP相同的效果? 我希望能有所帮助。 干杯Carsten

吹牛啤
2楼-- · 2020-08-23 20:51

Carsten Olt ,特别感谢您指出我2462389-SAML2.0:无需停机即可在NetWeaver ABAP的服务提供商上更新IdP签名证书! 我不知道该功能。

我也在AS JAVA上找到了"辅助签名证书功能"。

所以ABAP和JAVA是安全的。

IAS尚不清楚,因为没有辅助签名证书,也没有像密钥库维护用户界面那样的东西。

干杯,卢兹(Lutz)

一周热门 更多>