Конфигурирование сертификата SSL для шифрования и подписания слоя приложения
Конфигурирование сертификатов SSL для таких приложений, как ThingWorx и PingFederate, в следующих целях:
• Подписание SAML и проверка подписей - устанавливает доверие и проверяет исходный источник запроса.
• Шифрование и расшифровка XML - обеспечивает безопасное соединение отклика SAML.
Подписание SAML и проверка подписи
Подписание выполняется закрытым ключом, а проверка подписи - открытым ключом.
В процессе подписания и проверки подписи выполните следующие действия.
◦ Любое взаимодействие поставщика сервисов с CAS подписывается закрытым сертификатом поставщика сервисов. В CAS проверка подписи выполняется открытым сертификатом поставщика сервисов. В дальнейшем взаимодействие снова подписывается в CAS закрытым сертификатом CAS, а в поставщике удостоверений (IdP) проверка подписи выполняется открытым сертификатом CAS.
◦ Любое взаимодействие из IdP в CAS будет подписано закрытым сертификатом IdP. В CAS проверка подписи выполняется открытым сертификатом IdP. В дальнейшем взаимодействие снова подписывается в CAS закрытым сертификатом CAS, а в поставщике сервиса проверка подписи выполняется открытым сертификатом CAS.
На следующем рисунке показан процесс подписания и проверки подписи между различными приложениями.
На рисунке:
◦ ThingWorx - поставщик сервиса, PingFederate - CAS.
◦ Закрытый сертификат ThingWorx и открытый сертификат PingFederate настраиваются в файле KeyStore, на который ссылается конфигурация SSO ThingWorx.
◦ Открытый сертификат ThingWorx и закрытый сертификат PingFederate настраиваются в разделе конфигурации IdP на сервере PingFederate.
◦ Открытый сертификат IdP и закрытый сертификат PingFederate настраиваются в разделе конфигурации поставщика сервисов на сервере PingFederate. Открытый сертификат IdP включается в файл IdP Metadata.xml.
◦ Открытый сертификат PingFederate настраивается в конфигурации проверяющей стороны в IdP. Этот сертификат включается в файл Metadata.xml поставщика сервисов, который экспортируется с сервера PingFederate.
Шифрование и расшифровка XML
Отклики SAML, которые также содержат утверждение, из IdP в CAS и из CAS в поставщик сервисов шифруются и расшифровываются. Для подписания и шифрования используются те же сертификаты.
Любое взаимодействие из IdP в CAS шифруется с открытым сертификатом CAS, и в CAS взаимодействие расшифровывается закрытым сертификатом CAS. Кроме того, взаимодействие снова шифруется в CAS с помощью открытого сертификата поставщика сервисов. В поставщике сервисов взаимодействие расшифровывается с закрытым сертификатом поставщика сервисов.
На следующем рисунке показано шифрование и расшифровка XML.
На рисунке:
◦ ThingWorx - поставщик сервиса, PingFederate - CAS.
◦ Закрытый сертификат ThingWorx настраивается в файле KeyStore на сервере ThingWorx, на который есть ссылка в файле sso-settings.json.
◦ Открытый сертификат ThingWorx и закрытый сертификат PingFederate настраиваются в разделе конфигурации поставщика сервисов на сервере PingFederate.