证书管理

在线编辑

证书用于签署、验证、加密和解密各种对象,例如 SAML 断言以及 OAuth 和 OpenID Connect JSON Web 令牌 ( JWT)。

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录管理控制台 IBM® Verify
注意: 如果使用的是由证书颁发机构(CA)签名的证书,则证书链中的所有中间证书和根证书都需要导入到 IBM Verify 信任库中。 CA 签名证书应该定义有效的 CRL,并且 CRL 站点应该可访问。

关于此任务

Verify 使用以下证书:
个人证书

客户机或服务器提供给其他客户机或服务器进行认证的数字信任证书。

个人证书包含签署者证书公用密钥以及专用密钥,用于签署和加密数据。

身份提供商总是对其 SAML 身份验证响应进行签名。 在配置 SAML 单点登录时,您必须向服务提供商提供签名者证书个人证书公钥组件。 此信息用于验证身份提供者的身份。 个人证书签名证书公钥会自动填入 “应用程序 > 登录说明”中。

该证书还用于签署 OIDC 单点登录应用程序的标识令牌。

Verify 包含一份个人证书。 然而,此证书仅适用于演示、概念验证或技术验证目的。 请勿在生产环境中使用提供的证书。 在初始 Verify 设置期间添加其他个人证书

可以添加多个个人证书,但必须始终有一个证书:
  • “友好名称 ”设置为 server.
  • 设置为缺省值。 仅使用默认证书对 SAML 身份验证响应进行签名。

缺省个人证书即将到期时,确保对其进行更改,然后为使用了该个人证书公用密钥的应用程序重新配置单点登录。 否则,如果公用密钥与新的缺省个人证书不兼容,单点登录配置将无法运行。

签署者证书

服务提供者生成和提供的数字信任证书,它特定于目标应用程序帐户或实例。

签署者证书包含与目标应用程序的个人证书相关联的公用密钥签署者证书用于验证和信任证书的颁发者。 Verify 使用此证书来验证从目标应用程序接收到的已签名的 SAML 身份验证请求 ,并表明其 Verify 信任该目标应用程序。

如果服务提供商对其 SAML 身份验证请求进行签名,则需提供其签名证书。 您通常可以从服务提供者元数据获取签署者证书详细信息。 在 Verify 为目标应用程序配置 SAML 单点登录之前,请先将其导入。

如果服务提供商未对其 SAML 身份验证请求进行签名,则表示其未提供签名者证书

可以添加几个签署者证书
注意: 当您添加 SAML 企业身份提供商时,其签名证书会自动导入到 “安全 > 证书 > 签名证书 ”页面中。
您可以执行以下任务:

过程

  1. 选择 “安全” > “证书”
  2. 查看证书信息。
    1. 选择证书以显示 “证书详细信息 ”对话框,其中提供以下信息:
      表 1. 证书详情
      信息 描述
      友好名称

      也被称为证书别名。 这是显示名称。 这被视为对证书的直接引用,而非对序列号颁发者DN 的引用。

      必须为小写文本。 仅使用字母数字字符。
      证书类型

      识别证书为个人证书还是签署者证书
      签发者 DN 签署和颁发证书的实体的专有名称。 这通常是认证中心

      它包含若干 attribute=value 对,多个对之间用逗号分隔。

      CN: CommonName
      组织的标准域名。
      OU: OrganizationalUnit
      组织中部门的名称。
      O: Organization
      组织向相应的城市、州或国家/地区管理当局依法登记的名称。
      L: Locality
      该组织地址所在的城市。
      ST: StateOrProvinceName
      组织实际位于的州或省。
      C®: CountryName
      双字符的国家或区域代码。
      主题 DN

      主体专有名称。 向其颁发证书的实体的名称。

      它包含若干 attribute=value 对,多个对之间用逗号分隔。
      生效时间

      该证书生效的开始日期。 证书有效期只持续一段特定时间。 认证中心在签署证书时会设置并启动证书有效期。

      指定的日期依赖于本地日期和时间设置。
      到期时间 证书在此日期后失效。

      指定的日期依赖于本地日期和时间设置。
      序列号 用于区分此证书与认证中心颁发的其他证书的唯一标识。
      指纹
      用于识别证书的摘要算法。 这是用于对公用密钥证书进行散列化以及对传出的 SAML 2.0 消息签名的算法。
      • SHA-1
        注:SSL 证书签发机构已于2016年1月起弃用此算法。
      • SHA-256
      缺省证书

      指示这是否为缺省证书。

      无法编辑或删除缺省个人证书
      签名算法 证书的散列和加密算法。
  3. 添加个人证书
    1. 选择 “添加个人证书 ”。 这将显示“添加个人证书”对话框。
    2. 请查找文件 PKCS#12 (.p12) 或 PKCS#8 (.p8)。 或者,将其拖到放置区中。
      注意:PKCS#12 文件格式仅支持RSA证书,而 PKCS#8 文件格式仅支持ECDSA证书。
      显示所选文件的名称。
    3. 为新证书指定以下信息:
      表 2. “添加个人证书 ”对话框
      信息 描述
      文件密码 仅对于 .p12 文件是必需的。

      用于解密并安装证书文件的密码。
      友好名称 对于 .p8 文件是必需的,但对于.p12 files是可选的。

      证书标签。
      缺省证书 指示这是否为缺省证书。
      注意: 只有 .p12 证书可以作为默认证书使用。
    4. 点击 “确定”
  4. 添加签名证书
    1. 选择 “添加签名人证书 ”。 这将显示“添加签署者证书”对话框。
    2. 浏览并选择文件 .pem ,或将其拖放到目标区域。
      显示所选文件的名称。
    3. 请为新证书指定一个 “友好名称 ”。 详情请见表1。
    4. 点击 “确定”
      该证书显示在 “签名者证书 ”部分。 它还会作为 “服务提供商签名证书 ”的值添加到 “应用程序 > 登录 ”页面中。
  5. 删除个人证书签名人证书
    1. 选择以下其中一个选项:
      • 删除 将鼠标悬停在要删除的证书上,然后点击 图标。
      • 选择证书。
    2. 选择 “删除”
    3. 确认要永久删除所选用户。