手动生成证书以加密 SAML 断言
如果 Domino®server.id 文件具有密码,那么您作为管理员必须手动创建 SAML 元数据文件和证书文件;无法使用 IdP 目录应用程序中的创建 SP 证书按钮。如果要使用服务器标识文件中已存在的因特网证书验证 SAML 断言,也必须手动创建元数据文件。
过程
-
编辑 Domino®服务器 NOTES.INI 文件,然后输入以下必需设置:
SAMLAuthVersion=value其中,值为:
1 - 表示 SAML 1.1
2 - 表示 SAML 2.0
SAMLUrl=https://your_SAML_service_provider_hostname例如, https://domino1.us.renovations.com注: 如果不会为 Domino®服务器启用 SSL(对于 ADFS IdP 是必需的,但对于 TFIM IdP 不是必需的),那么此 URL 必须以 http 开头,而不能以 https 开头,例如 http://domino1.us.renovations.comSAMLSloUrl=https://iti-ws2.renovations.com/sps/samlTAM20/saml20如果您的联合是 IBM® Tivoli® Federated Identity Manager,该设置指定注销 URL。如果您的联合不需要或支持注销 URL,那么您应该仍然输入类似上面示例中的 URL,以确保导出元数据的语法正确。
-
如果服务器标识文件已经具有可以使用的因特网证书,那么此步骤是可选的。在 Domino®服务器上的 Domino® 服务器控制台处,输入以下命令来创建证书。如果公司名称不止一个词,请将整个名称用引号 (") 括起,如下所示:
certmgmt create saml [overwrite][company "Renovations Home Improvement"]注: 如果未指定公司,那么将使用缺省值SAML Signing。 -
请记下在发出 certmgmt create saml 命令时控制台上显示的公用密钥散列。该密钥是
public key hash=后面的字符串。在以下示例中,该密钥为v6i9TOz7zP9GBCXxtrz+KA==Certificate created, public key hash=v6i9TOz7zP9GBCXxtrz+KA== -
再次编辑 Domino®服务器 NOTES.INI 文件,并使用步骤 3 中记录的散列密钥来输入以下必需设置:
SAMLPublicKeyHash=your_hash_key提示: 如果没有记录散列密钥(例如,您不是执行先前步骤的管理员或者如果要使用其他现有证书),那么可以使用 CERTMGMT SHOW ALL 命令来显示该密钥。 -
使用管理员方便使用的任何字符串输入以下 NOTES.INI 设置:
SAMLCompanyName=your_organization_name为your_organization_name输入的文本必须与创建证书 (certmgmt create saml) 时在步骤 2 中提供的公司名称相匹配。或者,your_organization_name可以与发出 CERTMGMT SHOW ALL 命令时显示的主题名称相匹配。如果步骤 2 中未提供任何公司名称,那么使用 SAML Signing 作为SAMLCompanyName的值,例如:SAMLCompanyName=SAML Signing -
输入以下命令以生成元数据 .XML 文件(例如,tfim-meta.xml 用于 TFIM)以导入到您的联合中:
certmgmt export saml xml filename.xml - 将导出的证书文件复制到可以将其导入您配置的 IdP 配置文档中的位置。
- 打开相应的 IdP 配置文档。在证书管理选项卡上的证书管理设置下,将上一步中使用的公用密钥散列复制并粘贴至字段证书公用密钥散列值 (base 64)。