Certificaten
Toegelaten certificaten voor de Service Provider
Voor een correcte validatie van de certificaten binnen de ACM IDP vereisen we dat de certificaten geïssued worden door:
- ofwel een publieke CA
- ofwel de VO PKI CA
Self-signed certificaten of certificaten die geïssued werden door een niet-publieke CA zijn voor de ACM IDP niet toegelaten.
Voorwaarden waaraan het certificaat moet voldoen
De certificaten dienen x509 certificaten te zijn en dienen als key usages “Digital Signature” en “Key Encipherment” te hebben.
Dit kan je onderzoeken via onderstaand openssl-commando:
openssl x509 -text -noout -in mycertificate.pem
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
In tegenstelling tot een klassiek server-certificaat is de Common Name (CN) niet gelinkt aan de URL die de toepassing gebruikt.
Tip
Bij voorkeur geef je in de Common Name (CN) wel aan dat het voor een service provider gebruikt wordt, voor welke toepassing, voor signing of productie en best ook voor welke omgeving. Bijvoorbeeld: CN=sp_mijntoepassing_signing_prod of CN=sp_mijntoepassing_encryption_testDe certificaten worden in PEM-formaat in de SAML metadata opgenomen (zonder de —–BEGIN CERTIFICATE—– en —–END CERTIFICATE—– elementen).
Doelstelling voor de verschillende certificaten
signing certificaat | signen van het AuthnRequest (door de SP): garandeert dat de authenticatie van die toepassing komt | signen van de Response (door de IDP): garandeert dat de authenticatie bij de ACM IDP gebeurde |
encryptie certificaat | encrypteren van de Response (door de IDP): enkel de toepassing heeft de private key om de assertion/attributen te decrypteren en te valideren | niet gebruikt |
De ACM IDP vereist dat de AuthnRequest gesigned wordt door de Service Provider en zal zelf de Response steeds signen. Indien de Service Provider encryptie ondersteunt, dan wordt encryptie van de Response geactiveerd.
Certificaten vernieuwen
Indien de certificaten van één van beide partijen zullen vervallen, dan bezorgt die partij de nieuwe SAML metadata aan de andere partij en er wordt een tijdstip afgesproken om simultaan te switchen van certificaat.
Gelieve meer dan één maand voor het verval van het certificaat deze “switch” te laten inplannen zodat dit rustig ingepland kan worden.