本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
轮换 SAML 2.0 证书
您可能需要定期导入证书,以便轮换身份提供商颁发的无效或过期的证书。这有助于防止身份验证中断或停机。所有导入的证书都将自动激活。仅应在确保相关身份提供商不再使用证书后才将其删除。
您还应该考虑有些证书 IdPs 可能不支持多个证书。在这种情况下,使用这些证书轮换证书的行为 IdPs 可能意味着您的用户服务会暂时中断。当成功重新建立与该 IdP 的信任时,服务就会恢复。如果可能的话,请在非高峰时段仔细计划此操作。
注意
作为安全最佳实践,当现有SAML证书出现任何泄露或处理不当的迹象时,应立即移除并轮换证书。
轮换 Ident IAM ity Center 证书是一个多步骤的过程,涉及以下内容:
-
从 IdP 获取新证书
-
将新证书导入IAM身份中心
-
在 IdP 中激活新证书
-
删除旧证书
使用以下所有过程来完成证书轮换过程,同时避免任何身份验证停机。
步骤 1:从 IdP 获取新证书
前往 IdP 网站并下载他们的 SAML 2.0 证书。确保以PEM编码格式下载证书文件。大多数提供商都允许您在 IdP 中创建多个 SAML 2.0 证书。这些很可能会被标记为禁用或不活动。
步骤 2:将新证书导入IAM身份中心
使用以下步骤通过 Ident IAM ity Center 控制台导入新证书。
-
在 Id ent IAM ity Center 控制台
中,选择设置。 -
在设置页面上,选择身份源选项卡,然后选择操作>管理身份验证。
-
在管理 SAML 2.0 证书页面上,选择导入证书。
-
在 “导入 SAML 2.0 证书” 对话框中,选择 “选择文件”,导航到您的证书文件并将其选中,然后选择 “导入证书”。
此时,IAMIdentity Center 将信任通过您导入的两个证书签名的所有传入SAML邮件。
步骤 3:在 IdP 中激活新证书
返回 IdP 网站,将您之前创建的新证书标记为主证书或有效证书。此时,所有由 IdP 签名的SAML邮件都应使用新证书。
步骤 4:删除旧证书
使用以下过程完成 IdP 的证书轮换过程。必须始终列出至少一个有效的证书,并且无法将其删除。
注意
在删除该证书之前,请确保您的身份提供商不再使用该证书签署SAML响应。
-
在管理 SAML 2.0 证书页面上,选择要删除的证书。选择删除。
-
在 “删除 SAML 2.0 证书” 对话框中,键入
DELETE
进行确认,然后选择 “删除”。 -
返回 IdP 的网站并执行必要的步骤来删除旧的非活动状态证书。