为 AppScan Enterprise 中基于 SAML 的 SSO 启用加密

当用户登录到 SP(在本例中即 AppScan Enterprise)时,会向 IdP 发送请求以对用户进行认证。您可以通过在 AppScan Enterprise Server 中安装自签名证书来加密 SP 和 IdP 之间发生的这一认证和审批请求过程。

开始之前

  • 您必须是 AppScan Enterprise 管理员才能为 SAML 启用加密。
  • 您必须已在 AppScan Enterprise 中配置 SAML SSO 服务提供者。

关于此任务

本部分说明如何为 AppScan Enterprise 中基于 SAML 的 SSO 启用加密。

过程

  1. openssl-1.0.2j-fips-x86_64 下载到安装了 AppScan Enterprise 应用程序的计算机。
  2. 停止 HCL AppScan Enterprise Server 服务。
  3. 打开终端,将目录从 root 更改为存放您下载的文件的位置 <openssl directory>\ openssl-1.0.2j-fips-x86_64\OpenSSL\bin
  4. 运行以下命令为该应用程序生成自签名证书和专用密钥。
    • setOPENSSL_CONF=D:\Downloads\openssl-1.0.2j-fips-x86_64\OpenSSL\bin\openssl.cnf
    • openssl req -newkey rsa:2048 -x509 -keyout cakey.pem -out cacert.pem -days 3650 - 此命令将生成证书值。
    • openssl pkcs12 -export -in cacert.pem -inkey cakey.pem -out identity.p12 -name "<password provided during certification generation>"
    • openssl pkcs8 -topk8 -inform pem -nocrypt -in cakey.pem -outform pem -out sp.pem - 此命令将生成包含专用密钥值的 sp.pem 文件。
    证书值和专用密钥值便已生成。
  5. 使用 https://www.samltool.com/format_x509cert.php 工具将证书值和专用密钥值转换为单行字符串。
  6. 将转换后的证书字符串值和专用密钥复制到记事本。
  7. 转到安装了 AppScan Enterprise 应用程序的服务器。
  8. 导航至安装了 AppScan Enterprise 软件包的安装目录中的配置文件文件夹。例如:<installation directory>\AppScan Enterprise\Liberty\usr\servers\ase\config
  9. 找到并在文本编辑器中打开 SAML 配置属性 onelogin.saml.properties 文件。
  10. 按下表中的描述更新定制属性值的生成值:
    SAML 属性要更新的属性值
    onelogin.saml2.sp.x509cert 使用生成和转换后的自签名证书值更新此值。
    onelogin.saml2.sp.privatekey 使用转换后的专用密钥值更新此值。
    onelogin.saml2.strict 将此值设置为 true
    onelogin.saml2.security.nameid_encrypted 将此值设置为 true
    onelogin.saml2.security.authnrequest_signed 将此值设置为 true
    onelogin.saml2.security.want_assertions_signed 将此值设置为 true
    onelogin.saml2.security.want_xml_validation 将此值设置为 true
  11. 更新 onelogin.saml.properties 文件后,保存并关闭该文件。
  12. 运行配置向导,然后选择生成的 Liberty 服务器将使用的自签名证书。
  13. 重新启动 HCL AppScan Enterprise Server 服务。