维护 SAML 证书

您的 SAML 应用会使用 X.509 证书来确认身份提供商 (IdP) 和服务提供商 (SP) 之间共享信息的真实性和完整性。作为超级用户,您可以使用管理控制台执行以下操作:

  • 轻松查看 SAML 应用正在使用的 X.509 证书
  • 识别即将过期的 X.509 证书
  • 创建新证书,并将其分配给您的 SAML 应用
    此过程称为证书轮换。

为什么要轮换 SAML 证书?

之所以需要轮换证书,可能是因为证书即将过期,或因故遭到盗用。如果 SP 还支持使用多个 SAML 证书,轮换证书就可以预防由于证书过期而造成的服务意外中断情况。如果不轮换证书,那么当证书变更在服务提供商和身份提供商处先后进行更新时,就会出现服务中断的情况。

X.509 证书有效期为 5 年。与某个应用关联的 X.509 证书过期后,您的用户就无法通过基于 SAML 的 SSO 登录该应用。

请在有效的 SAML 证书过期之前先创建一个新的 X.509 证书。将此新证书分配给您的各个 SAML 应用,并在 SP 的管理网站上更新其配置。

设置和管理 SAML 证书

第 1 步:在“设置采用 Google 身份提供商的单点登录”部分中创建并更新 SAML 证书

您的帐号有一个可用于所有 SAML 应用的默认证书。如果您要更改证书或轮换已关联的证书,请按照以下步骤创建一组新的 X.509 证书:

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全 接着点击 设置单点登录 (SSO)

    您可能需要点击底部的更多控件,才能看到安全

  3. 设置采用 Google 身份提供商的单点登录下方,点击证书 1 旁边的生成证书
    当您生成证书后,证书 1 标签旁边就会显示证书文件名,文件名下方会显示到期日期。
  4. (可选)在设置采用 Google 身份提供商的单点登录下方,点击证书 2 旁边的生成证书
    当您生成证书后,证书 2 标签旁边会显示证书文件名,文件名下方会显示到期日期。
  5. 您现已生成证书,请转到下一部分,为自定义 SAML 应用或预配置的 SAML 应用管理证书。
第 2 步:管理与您自己的 SAML 应用关联的证书
  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到应用 接着点击 SAML 应用

    您可能需要点击底部的更多控件,才能在首页看到“应用”。

  3. 点击向网域添加服务/应用链接,或在底部角落点击添加 添加
  4. 点击设置自己的自定义应用

    系统会打开“Google IDP 信息”窗口,并自动填充“单点登录网址”和“实体 ID 网址”字段。
  5. 收集服务提供商设置信息:
    1. 复制实体 ID单点登录网址字段的值,并下载 X.509 证书
    2. 将这些内容粘贴至对应的“服务提供商设置”字段。
    3. 点击下一步
  6. 如果证书已经过期,请点击管理证书以更新 X.509 证书。
    如果您选择创建两个证书,系统会默认使用最新的证书。
  7. 继续执行第 4 步,为您的自定义 SAML 应用删除并替换任何即将过期或已遭盗用的证书。
第 3 步:创建和管理与您的预配置云应用关联的证书
  1. 将所选应用配置为 SAML SP。
  2. 对于没有证书的应用程序,请点击服务提供商详情下方的生成证书

    当您生成证书后,相应证书会显示在您配置的各个 SAML 应用所对应的“Google IDP 信息”窗口中,证书文件名下方会显示到期日期。

    如果所选应用是有效的预配置云应用,您会看到管理证书链接。
  3. 点击管理证书,然后管理身份提供商证书子窗口就会打开。

    您会看到两个证书对应的条目。当您生成证书后,相应证书会随即显示,文件名旁会显示到期日期。如果您选择创建两个证书,系统会默认使用最新的证书。
  4. 转到下一部分,为您的自定义 SAML 应用或预配置的 SAML 应用删除并替换任何即将过期或已遭盗用的证书。
第 4 步:删除并替换即将过期或已遭盗用的证书
  1. 在您选择的任何证书旁边,点击删除图标 删除 将其替换。

    如果您删除了某个有效 SAML 应用正在使用的证书,那么系统会在子窗口中显示受这项待处理的移除请求所影响的 SAML 应用数量。

    使用证书遭删除的 SAML 应用会出现服务中断的情况,直到证书先后在 SP 和 IdP 处更新完毕为止。
  2. 点击以删除该证书。
  3. 在不包含证书的条目旁边,点击生成证书
  4. 服务提供商详情下方,选择证书字段旁的向下箭头 向下箭头 以显示两个证书。
  5. 请选择其中一个证书。

    您需要为您的 SAML 应用逐个进行此操作,并在 SP 的管理网站上更新其配置。
  6. 点击保存

管理控制台审核日志会记录对 SAML 证书所做的更改。

该内容对您有帮助吗?
您有什么改进建议?