轮换 SAML 2.0 证书

您可能需要定期导入证书，以便轮换身份提供商颁发的无效或过期的证书。这有助于防止身份验证中断或停机。所有导入的证书都将自动激活。仅应在确保相关身份提供商不再使用证书后才将其删除。

您还应该考虑有些证书 IdPs 可能不支持多个证书。在这种情况下，使用这些证书轮换证书的行为 IdPs 可能意味着您的用户服务会暂时中断。当成功重新建立与该 IdP 的信任时，服务就会恢复。如果可能的话，请在非高峰时段仔细计划此操作。

注意

作为安全最佳实践，当现有SAML证书出现任何泄露或处理不当的迹象时，应立即移除并轮换证书。

轮换 Ident IAM ity Center 证书是一个多步骤的过程，涉及以下内容：

• 从 IdP 获取新证书

• 将新证书导入IAM身份中心

• 在 IdP 中激活新证书

• 删除旧证书

使用以下所有过程来完成证书轮换过程，同时避免任何身份验证停机。

步骤 1：从 IdP 获取新证书

前往 IdP 网站并下载他们的 SAML 2.0 证书。确保以PEM编码格式下载证书文件。大多数提供商都允许您在 IdP 中创建多个 SAML 2.0 证书。这些很可能会被标记为禁用或不活动。

步骤 2：将新证书导入IAM身份中心

使用以下步骤通过 Ident IAM ity Center 控制台导入新证书。

1. 在 Id ent IAM ity Center 控制台中，选择设置。

2. 在设置页面上，选择身份源选项卡，然后选择操作>管理身份验证。

3. 在管理 SAML 2.0 证书页面上，选择导入证书。

4. 在 “导入 SAML 2.0 证书” 对话框中，选择 “选择文件”，导航到您的证书文件并将其选中，然后选择 “导入证书”。

此时，IAMIdentity Center 将信任通过您导入的两个证书签名的所有传入SAML邮件。

步骤 3：在 IdP 中激活新证书

返回 IdP 网站，将您之前创建的新证书标记为主证书或有效证书。此时，所有由 IdP 签名的SAML邮件都应使用新证书。

步骤 4：删除旧证书

使用以下过程完成 IdP 的证书轮换过程。必须始终列出至少一个有效的证书，并且无法将其删除。

注意

在删除该证书之前，请确保您的身份提供商不再使用该证书签署SAML响应。

1. 在管理 SAML 2.0 证书页面上，选择要删除的证书。选择删除。

2. 在 “删除 SAML 2.0 证书” 对话框中，键入DELETE进行确认，然后选择 “删除”。

3. 返回 IdP 的网站并执行必要的步骤来删除旧的非活动状态证书。