Certificaten

Het gebruik van certificaten staat centraal bij de werking van SAML: ze zorgen voor de integriteit en confidentialiteit van de XML berichten

Toegelaten certificaten voor de Service Provider

Voor een correcte validatie van de certificaten binnen de ACM IDP vereisen we dat de certificaten geïssued worden door:

ofwel een publieke CA
ofwel de VO PKI CA

Self-signed certificaten of certificaten die geïssued werden door een niet-publieke CA zijn voor de ACM IDP niet toegelaten.

Voorwaarden waaraan het certificaat moet voldoen

De certificaten dienen x509 certificaten te zijn en dienen als key usages “Digital Signature” en “Key Encipherment” te hebben.

Dit kan je onderzoeken via onderstaand openssl-commando:

openssl x509 -text -noout -in mycertificate.pem

X509v3 Key Usage: critical
    Digital Signature, Key Encipherment

In tegenstelling tot een klassiek server-certificaat is de Common Name (CN) niet gelinkt aan de URL die de toepassing gebruikt.

Tip

Bij voorkeur geef je in de Common Name (CN) wel aan dat het voor een service provider gebruikt wordt, voor welke toepassing, voor signing of productie en best ook voor welke omgeving. Bijvoorbeeld: CN=sp_mijntoepassing_signing_prod of CN=sp_mijntoepassing_encryption_test

De certificaten worden in PEM-formaat in de SAML metadata opgenomen (zonder de —–BEGIN CERTIFICATE—– en —–END CERTIFICATE—– elementen).

Doelstelling voor de verschillende certificaten

	SAML Service Provider (= de toepassing)	SAML Identity Provider (ACM IDP)
signing certificaat	signen van het AuthnRequest (door de SP): garandeert dat de authenticatie van die toepassing komt	signen van de Response (door de IDP): garandeert dat de authenticatie bij de ACM IDP gebeurde
encryptie certificaat	encrypteren van de Response (door de IDP): enkel de toepassing heeft de private key om de assertion/attributen te decrypteren en te valideren	niet gebruikt

De ACM IDP vereist dat de AuthnRequest gesigned wordt door de Service Provider en zal zelf de Response steeds signen. Indien de Service Provider encryptie ondersteunt, dan wordt encryptie van de Response geactiveerd.

Certificaten vernieuwen

Indien de certificaten van één van beide partijen zullen vervallen, dan bezorgt die partij de nieuwe SAML metadata aan de andere partij en er wordt een tijdstip afgesproken om simultaan te switchen van certificaat.

Gelieve meer dan één maand voor het verval van het certificaat deze “switch” te laten inplannen zodat dit rustig ingepland kan worden.