我有一个组织证书需要重新颁发,因为浏览器不信任(Chrome/FF(在某个日期之前颁发的RapidSSL证书。参考:https://knowledge.digicert.com/generalinformation/INFO4627.html.
但是,我们有一个内部SSO设置(SAML 2.0(,使用相同的证书与我们的客户进行签名。我正在评估证书的吊销和重新颁发是否会影响我们的SSO设置,以及新的公钥是否必须传递到我们的客户端。据我所知,这不应该,因为证书实际上并没有过期。我认为这类似于使用自签名证书。我说得对吗?
SAML2使用证书格式作为传递密钥的方便方式。证书中的信任基于与Idp的直接配置关系,而不是通过公共CA根系统。
这就是SAML2元数据对证书的描述:
作为一个具体的例子,假设通过值或引用包含X.509证书没有任何含义。其有效期、延期、撤销状态和其他相关内容可以强制执行,也可以不强制执行,由依赖方自行决定。
虽然它允许依赖方进行额外的检查,但它既不要求也不保证任何此类检查都会通过。
一般来说,我认为继续使用证书应该是可以的,但您需要向您配置的依赖方(正常SAML2术语中的服务提供商(验证他们是否不验证证书。