Voor een project binnen een SAML-omgeving, waarbij een externe partij bepaalde eisen stelt, ben ik op zoek naar certificaten die aan die eisen voldoen. Ik heb zelf beperkt ervaring met certificaten. Dat gaat helaas niet veel verder dan het aanmaken en gebruiken van self-signed certificaten en win-acme gebruiken om servers en sites van Let's Encrypt certificaten te voorzien.

De gestelde eisen zijn:

• Het gaat om x509 certificaten...
• ... die moeten worden uitgegeven door een publieke Certificaat Autoriteit.

Tot zover volgens mij niet zo spannend volgens mij. Maar dan:

• Het moet mogelijk zijn om als key usages zowel Digital Signature als Key Encipherment mee te geven.
• Het moet mogelijk zijn om als Common Name een omschrijving mee te geven anders dan een domeinnaam.

Wie weet is dit bij een gekocht certificaat allemaal standaard mogelijk, daar heb ik op dit moment dus geen idee van. Maar als dat niet zo is, weet iemand bij welke partij(en) ik hier dan voor aan kan kloppen?

De meeste commerciële CA's zoals DigiCert, GlobalSign, Comodo en Symantec kunnen dit soort certificaten verstrekken.
Wel is het belangrijk om te weten dat certificaten met een Common Name die geen geldige domeinnaam is, problemen kunnen veroorzaken bij sommige implementaties, omdat de Common Name vaak wordt gebruikt voor domeinvalidatie. Het zou nuttig zijn om de exacte vereisten en beperkingen voor de Common Name te verifiëren met de externe partij voordat je verder gaat.

Enorm bedankt Arjen, dan ga ik een van die firma's eens goed bestuderen.

De IDP geeft zelf in de documentatie aan dat de Common Name op een bepaalde manier gevuld mag/moet worden en expliciet niet gelinkt is aan de URL die de toepassing gebruikt. Dat gaat dus waarschijnlijk geen problemen opleveren.

Nogmaals dank, ik kan weer even verder.