關於PingFederate用到的證書
關於PingFederate用到的證書
最近用PingFederate做了一個專案,覺得裡面的證書的理解很重要。 就關於證書部分在這裡記一下我的理解。有興趣的朋友可以一塊討論。如果對PingFederate一點都不瞭解,可能有點搞不清楚我說什麼,請大家見諒,因為Federate這個東西我還沒有理解太透, 不能在這裡講這個了。
1. DSign JKS Keystrore: 要指向一個jks檔案。 此jks裡只需有一項(當然匯入其他證書也可以),就是public-private key雙。其中private key用來對token簽名,public key用來驗證token簽名。
2. 首先要Trust CAs裡把根證書(DER格式的證書, 注意副檔名通常為cer)匯入。以下三個證書申請都用此根證書籤署。
IDP用匯入的pk12裡的private key對SAML進行簽名,然後SP用匯入的cer裡的public key進行驗證簽名---(在Adapter裡)。
SP用匯入的pk12裡的private key對SAML進行簽名,然後IDP用匯入的cer裡的public key進行驗證簽名---(在My IDP的SP connection裡進行設定)。
IDP用匯入的cer裡的public key對SAML進行加密,然後SP用匯入的pk12裡的private key進行驗證解密---(在My SP的IDP connection裡進行設定)。
注意:jks裡的key雙與其他證書可以沒有任何關係。 好像jks的證書也可以和public key起到同樣驗證簽名的作用,但是需要匯入cer證書。
這裡理解證書了,基本也就換懂PingFederate裡面的大概機制了。
3. 證書生成過程:
建立私鑰 :
建立證書請求
自簽署證書 :
將pem證書和private key合成p12格式 :
然後把p12的證書匯入IE裡,再用IE匯出DER格式的cer證書。看網上說pkcs7 可以轉換證書格式,但是我下的windows版本的openssl不能用這個命令,不知道是什麼原因。
最近用PingFederate做了一個專案,覺得裡面的證書的理解很重要。 就關於證書部分在這裡記一下我的理解。有興趣的朋友可以一塊討論。如果對PingFederate一點都不瞭解,可能有點搞不清楚我說什麼,請大家見諒,因為Federate這個東西我還沒有理解太透, 不能在這裡講這個了。
1. DSign JKS Keystrore: 要指向一個jks檔案。 此jks裡只需有一項(當然匯入其他證書也可以),就是public-private key雙。其中private key用來對token簽名,public key用來驗證token簽名。
2. 首先要Trust CAs裡把根證書(DER格式的證書, 注意副檔名通常為cer)匯入。以下三個證書申請都用此根證書籤署。
IDP用匯入的pk12裡的private key對SAML進行簽名,然後SP用匯入的cer裡的public key進行驗證簽名---(在Adapter裡)。
SP用匯入的pk12裡的private key對SAML進行簽名,然後IDP用匯入的cer裡的public key進行驗證簽名---(在My IDP的SP connection裡進行設定)。
IDP用匯入的cer裡的public key對SAML進行加密,然後SP用匯入的pk12裡的private key進行驗證解密---(在My SP的IDP connection裡進行設定)。
注意:jks裡的key雙與其他證書可以沒有任何關係。 好像jks的證書也可以和public key起到同樣驗證簽名的作用,但是需要匯入cer證書。
這裡理解證書了,基本也就換懂PingFederate裡面的大概機制了。
3. 證書生成過程:
建立私鑰 :
openssl genrsa -out root-key.pem 1024建立證書請求
openssl req -new -out root-req.csr -key root-key.pem自簽署證書 :
openssl x509 -req -in root-req.csr -out root-cert.pem -signkey root-key.pem -days 3650 openssl x509 -req -in other-req.csr -out ohter-cert.pem -CA root-cert.pem -CAkey root-key.pem -CAcreateserial -days 3650將pem證書和private key合成p12格式 :
openssl pkcs12 -export -clcerts -in root-cert.pem -inkey root-key.pem -out root.p12然後把p12的證書匯入IE裡,再用IE匯出DER格式的cer證書。看網上說pkcs7 可以轉換證書格式,但是我下的windows版本的openssl不能用這個命令,不知道是什麼原因。
相關文章
- 關於SSL證書之證書鏈
- 關於 SSL 證書
- 關於SSL證書的一些介紹
- 關於 Chrome 取消信任 Symantec 證書的計劃Chrome
- 關於IOS開發者證書過期的問題iOS
- 關於IOS製作p12證書的方法iOS
- 關於SSL證書雙向認證該怎麼操作
- 關於領取OCP證書Hands-on Course
- 關於https 證明公開金鑰正確性的證書HTTP
- 關於httpclient 請求https (如何繞過證書驗證)HTTPclient
- 關於SSL證書10大統計資料
- 基於 TrueLicense 的專案證書驗證
- SSL證書屬於數字證書嗎?數字證書有哪些
- 關於國外伺服器能否新增SSL證書的問題伺服器
- iOS企業版分發關於plist和證書的那些事iOS
- 基於CFSSL工具建立CA證書,服務端證書,客戶端證書服務端客戶端
- 關於常用到的幾個排序,php的實現排序PHP
- 證書相關知識
- 中科三方:關於SSL證書的幾個常見誤區
- 關於程式碼簽名證書種類的介紹及對比
- 關於C語言書的書名徵集C語言
- 關於程式碼簽名證書10個常見問題
- 簡單瞭解一下關於程式碼簽名證書的相關內容
- SSL證書很關鍵!為什麼有些公司會忽略SSL證書的部署?
- 關於Java Mail的身份驗證!JavaAI
- SSL證書相關技巧–如何訪問一個網站,其證書不在系統證書列表中網站
- Kubernetes證書相關(CFSSL)
- 中科三方:關於SSL證書你應該知道這些事
- 基於Let's Encrypt生成免費證書-支援多域名泛域名證書
- 請介紹關於mvc模式的書?MVC模式
- 關於資料倉儲的書籍
- 關於 Spartacus 新的交付方式 RBSC 和用到的一些工具
- 關於值物件的驗證的問題物件
- .pfx 證書和 .cer 證書
- Kubernetes客戶端認證——基於CA證書的雙向認證方式客戶端
- 關於ORACLE登陸認證Oracle
- 企業級證書和個人證書的區別
- 關於新書出版的一些想法新書