SAML2.0 证书

SAML metadata中的证书

SAML协议通信双方使用公钥加密来保证传输数据的安全。可信实体包含公钥的证书会以X.509证书格式发布在metadata中，而对应的私钥则安全保存在本地。这些密钥被用于消息层面的签名和加密，而SAML消息在传输过程中由TLS协议来进行安全交换。

这些密钥不能用于浏览器在443端口上建立TLS握手，由Key Usage进行约束

InCommon Federation基于显式密钥信任模型，该模型是metadata信任模型中的一种。所以建议使用长生命周期的自签证书，公共CA签名的证书在多数情况下也能够正常使用，但是不鼓励使用。

从安全角度看，metadata中的证书仅有公钥被用到，证书的其他部分会被程序自动忽略

支持SAML产品中使用的证书需要被导入到IDP中，通常每个通信实体只需要一个证书，但也可以使用多个证书。使用多个证书可以避免证书过期或密钥受损造成的影响。

在SAML metadata规范中，证书签发机构（CA）和SAML通信双方之间的信任模型没有关联。但是使用CA签发的证书在某些情况下会带来通用性问题并且导致错误的和证书的签发者建立信任关系，因此不建议使用。使用自签证书可以简化使用者加入多方联合的操作，或是没有在联邦没有注册过的本地系统。