春SAML2 IdP証明書の更新

Question

私たちのIdPはIdPメタデータの証明書を更新しています。

新しい証明書に切り替えることができるように、元の証明書と新しい証明書の両方が有効になる期間は1か月です。

問題は、証明書を更新するたびに、新しい証明書を含むIdPメタデータを再配備する必要があり、可能な場合は避けたいダウンタイム（サーバーの再起動）が含まれていることです。

私の質問は次のとおりです。

は、サーバの再起動せずに新しいIdPのメタデータファイルに切り替える可能性がある（JavaアプリケーションにTomcat 7で実行されている）

また、ために2つのメタデータファイルを使用する可能性があります同じIDP、新しい証明書、古い証明書を持つ証明書、および実行時に新しい証明書に切り替える

Answer 1

両方の署名証明書を同じIDPメタデータに含めることができます。春SAMLは、一致するか見つからないかぎり、利用可能なすべての証明書を使用して着信メッセージの署名を検証しようとします。同じIdPの2つのファイルは機能しません。アプリケーションの再起動なし -

あなたは、ファイルの構成ポイントが更新されるためにときに、自動的にメタデータをリロードしますorg.opensaml.saml2.metadata.provider.FilesystemMetadataProviderを、使用することができます。