He leído un poco acerca de la configuración de shibboleth y recomendaciones para SAML en internet2
Entiendo que no es necesario firmar un certificado cuando se usa para SAML, porque en realidad solo se necesita la clave. Sin embargo, sigo viendo personas que recomiendan no usar el certificado TLS de sus servidores web para firmar sus solicitudes SAML.
Entiendo que podría causar problemas de configuración para algunos tipos de configuraciones en las que los clientes no deben verificar toda la cadena de certificados. Pero actualmente estoy usando nuestro certificado TLS como nuestro certificado SAML, y no tengo ningún problema, por lo que parece funcionar en nuestro caso.
Nuestro certificado está a punto de caducar, así que empecé a implementar un nuevo certificado, que implica enviar la nueva clave pública al IDP. Ahora nuestro idp responde con:
Prefiero trabajar con un certificado autofirmado para la firma SAML & -encripción. No veo ninguna razón para usar el certificado del servidor web para este propósito.
Y me recomienda crear un certificado autofirmado y volver a intentarlo.
Sin embargo, otras personas en mi equipo no ven una razón para no usar este certificado, y yo mismo no puedo encontrar una. ¿Hay alguna buena razón contra cualquiera de estos 2 enfoques?
Otra razón por la que se crea un certificado autofirmado y se usa ese certificado es que luego necesitamos otro control cuando este certificado está a punto de caducar, y no podemos olvidar hacer una transferencia, mientras que ahora tenemos un cheque para los servidores web. El certificado TLS y una verificación para verificar este certificado SAML pueden ser difíciles de configurar. ¿Por qué deberíamos molestarnos en hacerlo si nuestra configuración actual funciona?
¿Alguien me puede dar algunas pistas sobre por qué cualquiera de estos dos enfoques es una mala idea?