Почему в Spring Saml игнорируются cacerts?

Я сделал реализацию на основе этого с помощью FilesystemMetadataProvider: https://github.com/vdenotaris/spring-boot-security-saml-sample.

Чтобы квитирование SSL работало для привязки артефакта, мне пришлось поставить / доверять сертификату CA для IDP в хранилище ключей java, используемом keyManager.

Я бы предпочел использовать cacerts в jre на случай, если IDP изменил CA, но мне не удалось найти какое-либо свойство, которое можно было бы установить, чтобы Spring SAML вместо этого смотрел внутрь него.

Также этот ответ предполагает, что cacert игнорируется altogheter: Spring Security SAML - HTTPS-соединения < / а>

Почему в Spring SAML игнорируется cacert? Мне это кажется недостатком.

Я проверил, что центр сертификации для IDP находится в файле cacert для моего jre. Если я удалю bean-компоненты, связанные с фабрикой TLS / socket, из конфигурации, это все равно не удастся.


spring-saml opensaml
person Bjorg    schedule 27.04.2016    source источник

Ответы (2)


arrow_upward
2
arrow_downward

Да, cacerts игнорируется. Spring SAML использует настраиваемые реализации для обработки доверия с целью обеспечения большего контроля над безопасностью системы. Вы всегда можете легко скопировать все сертификаты из cacerts в samlKeystore.

person Vladimír Schäfer    schedule 06.06.2016
comment
О, Владимир Шефер ответил на мой вопрос! Да, я сделал это, было хорошо получить подтверждение, что это правильный путь. Хотя я бы предпочел установить свойство для использования cacerts в jre вместо - person Bjorg; 08.06.2016

arrow_upward
0
arrow_downward

Ваш индивидуальный сертификат / сертификат JDK по умолчанию должен иметь сертификат IDP, импортированный как доверительный. Ваш индивидуальный сертификат, используемый в диспетчере JKS, должен иметь хотя бы один закрытый ключ. Импортируйте свое доверие в JDK_PATH / jre / lib / securitycacerts и попробуйте команду wget <your_idp_descriptor_url>

person meetarun    schedule 09.05.2016
comment
Я не понимаю, о чем вы говорите. Чтобы установить связь SSL для привязки артефакта, мне пришлось поместить общедоступный SSL-сертификат ЦС IDP в файл jks. Я хочу, чтобы spring saml вместо этого смотрел в cacert. Сертификат CA уже находится в файле cacert в jre - person Bjorg; 19.05.2016