/
SAML signing certificate rollover in EntraID

SAML signing certificate rollover in EntraID

Owned by tech
09-01-2025

Voor het verstrijken van het signing certificaat van de SAML connectie moet een nieuw certificaat tijdig bekend zijn in govconext. Als de SAML koppeling gemaakt is vanuit EntraID is dat eenvoudig te realiseren. Ruim vantevoren (twee werkweken) moet het nieuwe certificaat in de metadata van de IdP gepubliceerd worden, zodat govconext het alvast kan inladen. Dat gaat als volgt:

image-20241128-122034.png

klik op Bewerken.

Onder ‘SAML-handtekeningcertificaat’, kies ‘Nieuw certificaat’ en maak zo een nieuw certificaat aan.

Let op: self signed certificaten, zoals EntraID die genereert, bieden dezelfde mate van beveiliging voor wat betreft het signen van de SAML assertions als certificaten die van een commerciele publieke PKI worden betrokken. Het is dus niet nodig om hiervoor commerciele certificaten te gebruiken.

image-20250109-110604.png

Het nieuwe certificaat staat nog niet op actief en de eerstkomende 24 uur moet het ook nog niet op actief worden gezet om te voorkomen dat govconext het nog niet ingelogd heeft, waardoor loginpogingen zullen mislukken.

Het nieuwe certificaat moet al wel zichtbaar zijn in de metadata die bij de Enterprise Application is gegenereerd in EntraID.

Reminder: de metadata-URL is te vinden bij het overzicht van “Eenmalige aanmelding” bij blokje 3 “SAML-certificaten”:

image-20250109-111810.png

 

Onder node ‘IDPSSODescriptor’ moeten twee nodes met KeyDescriptor use=”signing” te zien zijn:

 

image-20250109-111611.png

Indien het oude en het nieuwe certificaat minstens twee werkweken voor het verlopen van het oude certificaat zichtbaar zijn in de metadata, heeft govconext het nieuwe certificaat geladen en kan de IdP-beheerder zelfstandig het nieuwe certificaat actief maken.

Het is raadzaam meteen te testen via https://govconext.nl/debug in een incognito browser of inloggen op basis van het nieuwe certificaat nog steeds lukt.