Перейти к основному содержимому
Сертификаты
Последнее изменение:

Сертификаты

При работе с федерациями используется два типа сертификатов:

  • сертификат поставщиков удостоверений — сертификат, который выпускается на стороне поставщика удостоверений и добавляется при настройке федерации в панели управления. Без сертификата федерация работать не будет;
  • сертификаты для подписи запросов — необязательный сертификат, который выпускается на стороне Selectel, если у федерации отмечен чекбокс Подписывать запросы аутентификации.

Сертификаты поставщиков удостоверений

Вы выпускаете сертификат у поставщика удостоверений и добавляете его в федерацию в Selectel. Сертификат используется для проверки подлинности данных при аутентификации пользователя в панели управления.

Вы можете создать федерацию без сертификата и добавить его позже, но федерация без сертификата работать не будет. Для одной федерации можно добавить до 10 сертификатов.

Если у федерации несколько сертификатов, они будут применяться последовательно: если время жизни сертификата истекло или он некорректен, будет применен следующий загруженный сертификат.

Выпустить сертификат у поставщика удостоверений

  1. В панели управления Keycloak перейдите в раздел Realm settings → вкладка Keys.
  2. В строке RS256 нажмите Certificate.
  3. Скопируйте сертификат.

Добавить сертификат

  1. В панели управления откройте меню (номер аккаунта) в правом верхнем углу и выберите пункт Профиль и настройки.
  2. Перейдите в раздел Федерации.
  3. Откройте страницу федерации.
  4. В блоке Сертификаты IdP нажмите Добавить сертификат.
  5. Введите имя сертификата.
  6. Вставьте сертификат. Он должен начинаться с -----BEGIN CERTIFICATE----- и заканчиваться -----END CERTIFICATE-----
  7. Нажмите Добавить.

Удалить сертификат

  1. В панели управления откройте меню (номер аккаунта) в правом верхнем углу и выберите пункт Профиль и настройки.
  2. Перейдите в раздел Федерации.
  3. Откройте страницу федерации.
  4. В блоке Сертификаты IdP в строке сертификата нажмите .

Сертификаты для подписи запросов

Сертификат для подписи запросов генерируется автоматически на стороне Selectel, если у федерации включена опция Подписывать запросы аутентификации.

Вы можете скачать сертификат и загрузить его при настройке федерации на стороне вашего поставщика удостоверений, подробнее в инструкциях Настроить федерацию на стороне Keycloak и Настроить федерацию на стороне Active Directory Federation Services.

Скачать сертификат для подписи запросов

  1. В панели управления откройте меню (номер аккаунта) в правом верхнем углу и выберите пункт Профиль и настройки.
  2. Перейдите в раздел Федерации.
  3. Откройте страницу федерации.
  4. В поле Подписывать запросы аутентификации нажмите Скачать сертификат. Файл сертификата в формате .crt будет загружен на ваше устройство.