管理证书

在线编辑

证书用于签署、验证、加密和解密各种对象,例如 SAML 断言以及 OAuth 和 OpenID Connect JSON Web 令牌 ( JWT)。

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录到 IBM® Verify 管理控制台。
注: 如果使用 CA 签名证书,那么需要将链中的所有中间证书和根证书导入到 IBM Verify 信任库中。 CA 签名证书应该定义有效的 CRL,并且 CRL 站点应该可访问。

关于此任务

Verify 使用以下证书:
个人证书

客户机或服务器提供给其他客户机或服务器进行认证的数字信任证书。

个人证书包含签署者证书公用密钥以及专用密钥,用于签署和加密数据。

身份提供者 始终对其 SAML 认证响应进行签名。 配置 SAML 单点登录时,必须向 服务提供者 提供 签署者证书个人证书公用密钥 组件。 此信息用于验证身份提供者的身份。 签名者证书个人证书公钥将自动填充至 “应用程序 > 登录说明”中。

该证书还用于签署 OIDC 单点登录应用程序的标识令牌。

Verify 包含 个人证书。 然而,此证书仅适用于演示、概念验证或技术验证目的。 请勿在生产环境中使用提供的证书。 在初始 Verify 设置期间添加其他个人证书

可以添加多个个人证书,但必须始终有一个证书:
  • 友好名称 设置为 server
  • 设置为缺省值。 仅使用缺省证书来签署 SAML 认证响应

缺省个人证书即将到期时,确保对其进行更改,然后为使用了该个人证书公用密钥的应用程序重新配置单点登录。 否则,如果公用密钥与新的缺省个人证书不兼容,单点登录配置将无法运行。

签署者证书

服务提供者生成和提供的数字信任证书,它特定于目标应用程序帐户或实例。

签署者证书包含与目标应用程序的个人证书相关联的公用密钥签署者证书用于验证和信任证书的颁发者。 Verify 使用此证书来验证其从目标应用程序接收到的已签名 SAML 认证请求 ,并指示 Verify 信任目标应用程序。

如果 服务提供者 签署其 SAML 认证请求,那么它将提供其 签署者证书。 您通常可以从服务提供者元数据获取签署者证书详细信息。 在为目标应用程序配置 SAML 单点登录之前,请将其导入 Verify 中。

如果 服务提供者 未对其 SAML 认证请求进行签名,那么它不会提供 签署者证书

可以添加几个签署者证书
注意: 添加 SAML 企业身份提供商时 ,其签名证书会自动导入至 “安全 > 证书 > 签名证书 ”页面。
您可以执行以下任务:

过程

  1. 选择 “安全” > “证书”
  2. 查看证书信息。
    1. 选择证书以显示 " 证书详细信息 " 对话框,该对话框提供以下信息:
      表 1. 证书详情
      信息 描述
      友好名称

      也被称为证书别名。 它是显示名称。 它被视为对证书的重点引用,而不是 序列号颁发者 DN

      必须为小写文本。 仅使用字母数字字符。
      证书类型

      识别证书为个人证书还是签署者证书
      签发者 DN 签署和颁发证书的实体的专有名称。 这通常是认证中心

      它包含若干 attribute=value 对,多个对之间用逗号分隔。

      CN: CommonName
      组织的标准域名。
      OU: OrganizationalUnit
      组织中部门的名称。
      O: Organization
      组织向相应的城市、州或国家/地区管理当局依法登记的名称。
      L: Locality
      组织地址所在的城市。
      ST: StateOrProvinceName
      组织实际位于的州或省。
      C®: CountryName
      双字符的国家或区域代码。
      主题 DN

      主体专有名称。 向其颁发证书的实体的名称。

      它包含若干 attribute=value 对,多个对之间用逗号分隔。
      生效时间

      该证书生效的开始日期。 证书有效期只持续一段特定时间。 认证中心在签署证书时会设置并启动证书有效期。

      指定的日期依赖于本地日期和时间设置。
      到期时间 证书在此日期后失效。

      指定的日期依赖于本地日期和时间设置。
      序列号 用于区分此证书与认证中心颁发的其他证书的唯一标识。
      指纹
      用于识别证书的摘要算法。 这是用于对公用密钥证书进行散列化以及对传出的 SAML 2.0 消息签名的算法。
      • SHA-1
        注: 从 2016 年 1 月开始, SSL 证书颁发者不推荐使用此算法。
      • SHA-256
      缺省证书

      指示这是否为缺省证书。

      无法编辑或删除缺省个人证书
      签名算法 证书的散列和加密算法。
  3. 添加 个人证书
    1. 选择 添加个人证书。 这将显示“添加个人证书”对话框。
    2. 浏览 PKCS#12 (.p12) 或 PKCS#8 (.p8) 文件。 或者,将其拖到放置区中。
      注: PKCS#12 文件格式仅支持 RSA 证书, PKCS#8 文件格式仅支持 ECDSA 证书。
      将显示 所选文件 的名称。
    3. 为新证书指定以下信息:
      表 2. 添加个人证书对话框
      信息 描述
      文件密码 仅对于 .p12 文件是必需的。

      用于解密并安装证书文件的密码。
      友好名称 对于 .p8 文件是必需的,但对于.p12 files是可选的。

      证书标签。
      缺省证书 指示这是否为缺省证书。
      注: 只能将 .p12 证书用作缺省证书。
    4. 选择 确定
  4. 添加 签署者证书
    1. 选择 添加签署者证书。 这将显示“添加签署者证书”对话框。
    2. 浏览 .pem 文件或将其拖动到放置区中。
      将显示 所选文件 的名称。
    3. 指定新证书的 友好名称 。 请参阅 表 1 以获取详细信息。
    4. 选择 确定
      证书将显示在 签署者证书 部分中。 该证书还被添加为 “应用程序 > 登录 ”页面中服务提供商签名证书的值。
  5. 删除 个人证书签署者证书
    1. 选择以下其中一个选项:
      • 将鼠标悬停在要删除的证书上,然后选择 图标 删除
      • 选择证书。
    2. 选择 删除
    3. 确认要永久删除所选用户。