Alex Asked: 2016-06-02 00:24:50 +0800 CST2016-06-02 00:24:50 +0800 CST 2016-06-02 00:24:50 +0800 CST 我是否应该担心 ADFS 令牌证书自动翻转时的中断? 772 据我了解,ADFS 自行管理令牌签名和解密证书,除非另有配置,所以在我目前的情况下(见附图)应该不需要做任何事情,对吗? 另外,我是否应该期望旧证书(现在是辅助证书)在到期时被删除? (现在一切正常,我只是想合理地确定没有什么会意外爆炸) ssl-certificate adfs 2 个回答 Voted Best Answer rbrayb 2016-06-02T11:08:20+08:002016-06-02T11:08:20+08:00 从 ADFS PoV,无需执行任何操作。 是 - 证书已删除。 但是,任何不自动获取新元数据的 CP 和 RP 都会中断,因为它们会认为令牌被错误地签名。 这些需要手动更新。 user193597 2019-04-09T06:22:32+08:002019-04-09T06:22:32+08:00 我不同意接受的答案。根据我的经验,一个典型的依赖方: 不会自动获取新的元数据 每次证书翻转时肯定会中断 当我报告停电时感到非常惊讶,即使它已经连续发生了 3 年 不知道如何使用元数据并要求我将证书通过电子邮件发送给他们 所以,是的,担心。 我最大的依赖方谷歌似乎没有实现元数据自动更新,只提供了一个单一的证书上传槽,这意味着没有办法做到平滑过渡。您必须在证书成为 ADFS 服务器上的主要证书的那一刻将证书上传到 Google,否则您会出现中断。 (我认为在元数据中包含两个证书的目的是允许依赖方在其日期范围的重叠期间实际接受这两个证书,这将使得平滑翻转成为可能。谷歌没有这样的事情。) 即使是更胜任的依赖方,在其端使用 ADFS,也无法进行自动更新,只能通过从头开始重新创建信任关系,从 xml 元数据中成功刷新。 担心很多。
从 ADFS PoV,无需执行任何操作。
是 - 证书已删除。
但是,任何不自动获取新元数据的 CP 和 RP 都会中断,因为它们会认为令牌被错误地签名。
这些需要手动更新。
我不同意接受的答案。根据我的经验,一个典型的依赖方:
所以,是的,担心。
我最大的依赖方谷歌似乎没有实现元数据自动更新,只提供了一个单一的证书上传槽,这意味着没有办法做到平滑过渡。您必须在证书成为 ADFS 服务器上的主要证书的那一刻将证书上传到 Google,否则您会出现中断。
(我认为在元数据中包含两个证书的目的是允许依赖方在其日期范围的重叠期间实际接受这两个证书,这将使得平滑翻转成为可能。谷歌没有这样的事情。)
即使是更胜任的依赖方,在其端使用 ADFS,也无法进行自动更新,只能通过从头开始重新创建信任关系,从 xml 元数据中成功刷新。
担心很多。