我目前正在一个项目中创建一个CA证书和一些CA证书的子证书。这些证书将用于保护SAMLV2设置中的服务器间通信,因此我将拥有身份提供者证书和服务提供者证书。用户/浏览器不会验证证书,因此它只是需要信任我的自定义CA的服务器。我的证书树看起来是这样的:为什么在生产中使用MakeCert工具生成的证书不好?
- CustomRootCACert
- CustomIdentityProviderCert
- CustomServiceProviderCert
现在,我已经听到很多人说这是不好用自制的生产证书。但是当我问到为什么时,人们通常只是在咕something一些关于安全的事情,但从来没有深入细节。是否有技术上的理由不使用我自己的生产证书?我想不出任何......我当然意识到,如果我失去了对根证书的控制,任何人都可以开始创建各种证书。但在这种情况下,他们还必须在我的服务器上安装证书并配置saml应用程序以使用它们。只有这样他们才能开始生成假的saml请求和对我的应用程序的响应。
如果这是唯一的问题,这个解决方案(在生产中使用自制的证书)仍然会比我们今天的登录设置更好。
感谢您的建议!你有任何关于这种做法的进一步信息的链接? – JohannesH 2009-02-09 11:44:00
试试这个:http://technet.microsoft.com/en-us/library/dd277378.aspx#EGAA。至少要开始... – AviD 2009-02-09 20:28:06