SAML签名证书 - 哪种SSL证书类型？

我们目前正在使用SAML 2.0开发SSL解决方案,直到现在,我们一直使用自签名证书来签署XML请求.

但是,当我们转向生产时,我们希望使用证书颁发机构颁发的证书.但我不确定要购买哪种类型的证书,因为它们都是以网站为中心的.例如,单域,通配符域等.

例如,一直在看这些:https: //www.123-reg.co.uk/ssl-certificates/

在购买网站的SSL证书时,我非常了解.但是,由于证书仅用于签署SAML请求,因此购买哪种类型是否重要？当然它是否支持单个域或通配符域是无关紧要的？

SAML中的证书仅用作处理签名和加密密钥的便捷方式.密钥通常通过元数据进行交换,或者通过将证书安全地转移到SAML交换中涉及的各方来进行交换.因此,不需要能够使用公共权限来验证证书.

这也在SAML元数据规范(第697行)中说明

该规范对该元素的允许或建议内容,以及对依赖方的含义没有任何定位.作为具体示例,不假设通过值或引用包括X.509证书的含义.有效期,延期,撤销状态和其他相关内容可能会也可能不会被执行,由依赖方自行决定

所以我会继续使用自签名证书.

但是,如果您想购买证书,它应该具有"数字签名"和"密钥加密"用法.普通的SSL证书(至少是我检查过的证书)确实包含这些用法.

"数字签名"的使用应该是自我解释的."密钥加密"是由于证书中的密钥不用于直接加密数据的事实.数据通过适用于较大数据大小的对称密钥算法加密.然后使用RSA密钥加密该密钥(RSA适用于较小的数据,例如加密密钥).因此,RSA密钥用于加密/加密密钥.