使用 Linux 上的 shibboleth,我将使用 SAML 的服务公开。之前我使用自签名证书,因为所有 SAML 流量都是内部的。
使用相同的密钥,我创建了一个 CSR 并获得了由适当的 CA 签名的新证书。
我的问题是,在口号中,这种改变需要什么?据我所知,SAML 并不真正使用签名链。新旧证书在与以下内容进行比较后具有相同的 MD5 签名:
openssl x509 -noout -modulus -in server.crt| openssl md5
Shibboleth 的配置概述了解密密钥,但我认为签名证书不包含在内。
我希望听到我可以订阅新的证书,但如果不可以,我必须更新什么以及在哪里更新 - 例如,我是否需要每个连接的应用程序来获取更新的元数据。
提前感谢您的智慧!