据我了解,除非另有配置,否则 ADFS 会自行管理令牌签名和解密证书,因此在我目前的情况下(参见附图),不需要做任何事情,对吗?
此外,我是否应该期望旧证书(现在是辅助证书)在到期时被删除?
(现在一切都运行良好,我只是想确保不会发生意外爆炸)
答案1
从 ADFS PoV 来看,无需执行任何操作。
是的—证书已删除。
但是,任何不能自动获取新元数据的 CP 和 RP 都会崩溃,因为它们会认为令牌的签名不正确。
这些需要手动更新。
答案2
我不同意接受的答案。根据我的经验,一个典型的依赖方:
- 不会自动获取新的元数据
- 每次证书更新时肯定会发生中断
- 当我报告停电事件时,他们感到非常惊讶,即使这种情况已经连续发生了 3 年
- 不知道如何使用元数据,需要我通过电子邮件向他们发送证书
是的,担心。
我最大的依赖方 Google 似乎没有实现自动元数据更新,并且只为证书提供了一个上传槽,这意味着无法实现平稳过渡。您必须在证书成为 ADFS 服务器上的主要证书时立即将其上传到 Google,否则会出现中断。
(我认为在元数据中同时包含这两个证书的目的是允许依赖方在日期范围重叠期间真正接受它们,从而实现平稳过渡。谷歌没有这样的事情。)
即使是更有能力的依赖方,在其终端使用 ADFS,也无法进行自动更新,只能通过从头开始重新创建信任关系来从 xml 元数据中进行刷新。
很担心。