轮换 SAML 2.0 证书 - AWS IAM Identity Center

轮换 SAML 2.0 证书

您可能需要定期导入证书,以便轮换身份提供商颁发的无效或过期的证书。这有助于防止身份验证中断或停机。所有导入的证书都将自动激活。仅应在确保相关身份提供商不再使用证书后才将其删除。

您还应该考虑某些 IdP 可能不支持多个证书。在这种情况下,与这些 IdP 轮换证书的行为可能意味着您的用户的服务会暂时中断。当成功重新建立与该 IdP 的信任时,服务就会恢复。如果可能的话,请在非高峰时段仔细计划此操作。

注意

作为安全最佳实践,一旦现有 SAML 证书出现任何泄露或处理不当的迹象,您应立即删除并轮换该证书。

轮换 IAM Identity Center 证书是一个多步骤过程,涉及以下内容:

  • 从 IdP 获取新证书

  • 将新证书导入 IAM Identity Center

  • 在 IdP 中激活新证书

  • 删除旧证书

使用以下所有过程来完成证书轮换过程,同时避免任何身份验证停机。

步骤 1:从 IdP 获取新证书

访问 IdP 网站并下载其 SAML 2.0 证书。确保以 PEM 编码格式下载证书文件。大多数提供商都允许您在 IdP 中创建多个 SAML 2.0 证书。这些很可能会被标记为禁用或不活动。

步骤 2:将新证书导入 IAM Identity Center

按照以下过程使用 IAM Identity Center 控制台导入新证书。

  1. IAM Identity Center 控制台中,选择设置

  2. 设置页面上,选择身份源选项卡,然后选择操作>管理身份验证

  3. 管理 SAML 2.0 证书页面上,选择导入证书

  4. 导入 SAML 2.0 证书对话框中,选择选择文件,导航到您的证书文件并将其选中,然后选择导入证书

此时,IAM Identity Center 将信任从您导入的两个证书签名的所有传入 SAML 消息。

步骤 3:在 IdP 中激活新证书

返回 IdP 网站,将您之前创建的新证书标记为主证书或有效证书。此时,由 IdP 签名的所有 SAML 消息都应使用新证书。

步骤 4:删除旧证书

使用以下过程完成 IdP 的证书轮换过程。必须始终列出至少一个有效的证书,并且无法将其删除。

注意

在删除该证书之前,请确保您的身份提供商不再使用此证书对 SAML 响应进行签名。

  1. 管理 SAML 2.0 证书页面上,选择要删除的证书。选择删除

  2. 删除 SAML 2.0 证书对话框中,键入 DELETE 进行确认,然后选择删除

  3. 返回 IdP 的网站并执行必要的步骤来删除旧的非活动状态证书。