現在、SAML 2.0を使用してSSLソリューションを開発しており、これまで、XML要求の署名に自己署名証明書を使用してきました。
ただし、本番環境に移行するときは、認証局からの証明書を使用する必要があります。しかし、それらはすべてWebサイト中心であるため、どのタイプの証明書を購入するかはよくわかりません。たとえば、単一ドメイン、ワイルドカードドメインなど。
たとえば、これらを見てきました: https://www.123-reg.co.uk/ssl-certificates/
WebサイトのSSL証明書の購入に関しては、かなり知識があります。ただし、証明書はSAML要求の署名に使用されるだけなので、どのタイプを購入するかは重要ですか?確かに、それが単一のドメインをサポートするのか、ワイルドカードドメインをサポートするのかは関係ありませんか?
SAMLの証明書は、署名キーと暗号化キーを処理するための便利な方法としてのみ使用されます。キーは通常、メタデータを介して交換されるか、SAML交換に関与する当事者への証明書の安全な転送によって交換されます。したがって、公的機関で証明書を検証できる必要はありません。
これは SAMLメタデータ仕様(697行目) にも記載されています。
この仕様は、この要素の許容される内容または提案される内容、または依拠当事者にとってのその意味については何の立場も取りません。具体的な例として、値または参照によってX.509証明書を含めることの意味は想定されません。その有効期間、延長、失効ステータス、およびその他の関連コンテンツは、依拠当事者の裁量により、施行される場合とされない場合があります。
したがって、自己署名証明書を引き続き使用します。
ただし、証明書を購入する場合は、「デジタル署名」と「キー暗号化」を使用する必要があります。通常のSSL証明書(少なくとも私がチェックしたもの)には、これらの使用法が含まれています。
「デジタル署名」の使用法は自明である必要があります。 「キー暗号化」は、証明書のキーがデータを直接暗号化するために使用されていないという事実によるものです。データは、より大きなデータサイズに適した対称鍵アルゴリズムによって暗号化されます。次に、そのキーはRSAキーで暗号化されます(RSAは、暗号化キーなどの小さなデータに適しています)。したがって、RSAキーは、キーを暗号化/暗号化するために使用されます。