Keycloak 作为服务提供商 - 设置签名证书
Keycloak as a Service Provider - setting up a signing certificate
当使用 Keycloak 作为应该连接到(非 Keycloak)身份提供者 (IdP) 的服务提供者 (SP) 时,如何在 Keycloak 中安装签名证书?
更准确地说,Keycloak 应该用作 Identity Broker(如 Keycloak documentation 中所述)并且 Keycloak SP 和 IdP 之间的通信是将通过 SAML 2.0 协议提供便利。
Keycloak 文档包含 information on how to install SSL certificates 用于进行“正常”HTTPS 通信,例如在浏览器中,但我找不到任何关于安装用于与 IdP 的后端到后端 SAML 通信的签名证书的信息。有人知道怎么做吗?
(Keycloak 中可能只安装了一个证书,即此证书用于 SAML 通信和其他非 SAML Keycloak HTTPS 通信?)
您如何查看您的 SP 将哪个证书用于 signing/encrypting SAML 消息 for/to 外部 IDP?
转到身份提供者 -> 您配置的 SAML IDP -> 导出。导出包含用于 signing/encryption 的证书。您的 IDP 中必须至少有一个激活的 signing/encryption 配置,否则您将不会在导出
中看到证书
如何更改配置的 IDP 使用的证书?
创建领域时,keycloak 会生成一个 RSA-SHA256 证书,默认情况下,您配置的 IDP 代理设置将使用该证书。
转到 Realm Settings -> Keys,您将看到这个 RS256 (RSA) 与提供商 (rsa-generated)
如果您需要其他证书,请切换到提供商选项卡,添加密钥库,例如RSA。导入您的私钥和证书(均为 PEM 格式!)
返回概览,禁用 rsa 生成的提供程序,您新生成的提供程序应该是类型为 RS256
的唯一活动提供程序
如果您现在再次检查 IDP 的导出,导入的证书应该在 XML
当使用 Keycloak 作为应该连接到(非 Keycloak)身份提供者 (IdP) 的服务提供者 (SP) 时,如何在 Keycloak 中安装签名证书?
更准确地说,Keycloak 应该用作 Identity Broker(如 Keycloak documentation 中所述)并且 Keycloak SP 和 IdP 之间的通信是将通过 SAML 2.0 协议提供便利。
Keycloak 文档包含 information on how to install SSL certificates 用于进行“正常”HTTPS 通信,例如在浏览器中,但我找不到任何关于安装用于与 IdP 的后端到后端 SAML 通信的签名证书的信息。有人知道怎么做吗?
(Keycloak 中可能只安装了一个证书,即此证书用于 SAML 通信和其他非 SAML Keycloak HTTPS 通信?)
您如何查看您的 SP 将哪个证书用于 signing/encrypting SAML 消息 for/to 外部 IDP?
转到身份提供者 -> 您配置的 SAML IDP -> 导出。导出包含用于 signing/encryption 的证书。您的 IDP 中必须至少有一个激活的 signing/encryption 配置,否则您将不会在导出
中看到证书如何更改配置的 IDP 使用的证书?
创建领域时,keycloak 会生成一个 RSA-SHA256 证书,默认情况下,您配置的 IDP 代理设置将使用该证书。
转到 Realm Settings -> Keys,您将看到这个 RS256 (RSA) 与提供商 (rsa-generated)
如果您需要其他证书,请切换到提供商选项卡,添加密钥库,例如RSA。导入您的私钥和证书(均为 PEM 格式!)
返回概览,禁用 rsa 生成的提供程序,您新生成的提供程序应该是类型为 RS256
如果您现在再次检查 IDP 的导出,导入的证书应该在 XML