Важность сертификата хранилища ключей для SAML SSO

Question

Я новичок в сертификатах и ​​хранилищах ключей.

Какое значение имеют и работают хранилища ключей и сертификаты для единого входа SAML (в контексте загрузочного SAML SSL)?

Я вижу .jks, .pem, .cer, .der и т. Д. В использовании. Что это?

Answer 1

Какое значение имеет и работает KeyStore и сертификаты для единого входа SAML (в контексте загрузочной SAML SSL)?

• Они используются для обеспечения безопасности при подписании утверждений SAML, Запрос и ответ по протоколу SAML.
• Сертификаты в SAML SSO будут использоваться для цифровой подписи SAML утверждение / запрос / ответ и хранилище ключей является постоянным хранилищем для хранить ключи / сертификаты.

• Подтверждение, подписанное подтверждающей стороной, поддерживает утверждение целостность, аутентификация подтверждающей стороны на основе SAML сторона, и, если подпись основана на полномочиях SAML пара открытый-закрытый ключ, безотказность происхождения.

• Запрос протокола SAML или ответное сообщение, подписанное сообщением оригинатор поддерживает целостность сообщения, аутентификацию сообщения отправления в пункт назначения, и, если подпись основана на пара открытый-закрытый ключ отправителя, безотказность о происхождении.

• Сертификаты также используются для установления безопасного канала (SSL / TLS).

Что такое .jks, .pem, .cer, .der и т. Д .?

• .jks является расширением проприетарного формата JAVA KeyStore (JKS). JKS это формат базы данных как для закрытого ключа, так и для связанного сертификат или цепочка сертификатов. До JAVA 8, по умолчанию, как указанный в файле java.security, keytool использует JKS в качестве формата базы данных ключей и сертификатов (KeyStore и TrustStores). Начиная с JAVA 9 формат хранилища ключей по умолчанию был изменен на PKCS12 (расширение .pkcs).

.pem, .cer, .der - типы сертификатов / ключей / расширения:

• .PEM: расширение PEM используется для различных типов файлов X.509v3 которые содержат защищенные данные ASCII (Base64) с префиксом «—– НАЧАЛО … ».
• .DER: расширение DER используется для двоичных сертификатов в кодировке DER. Эти файлы также могут иметь расширение CER или CRT. правильный Использование английского языка будет означать «У меня есть сертификат в кодировке DER», а не «У меня есть сертификат DER ».
• .CRT: расширение CRT используется для сертификатов. Сертификаты может быть закодирован как двоичный DER или как ASCII PEM. ССВ и ЭЛТ Расширения почти синонимичны. Наиболее распространенный среди * nix систем.
• CER: альтернативная форма .crt (Microsoft Convention). Вы можете использовать MS для преобразуйте .crt в .cer (.both DER-кодированный .cer, или base64 [PEM] кодированный .cer) Расширение файла .cer также распознается IE как команда запустить команду MS cryptoAPI (в частности, rundll32.exe) cryptext.dll, CryptExtOpenCER), который отображает диалог для импорта и / или просмотр содержимого сертификата.
• .KEY: расширение KEY используется как для публичной, так и для приватной PKCS # 8. ключи. Ключи могут быть закодированы как двоичный DER или как ASCII PEM.