配置斷言加密以保護在 Okta 和 Trend Vision One 之間傳輸的資料防護。
配置 SAML 斷言加密允許您透過指定資料加密演算法和金鑰傳輸演算法來進一步保護 Okta 和 Trend Vision One 之間的連接。
 |
注意以下指示自2024年3月起有效。
|
 |
重要要完成以下配置,請確保您已在電腦防護上安裝OpenSSL。
|
步驟
- 下載 CSR(憑證簽署請求)檔案。
- 在 Trend Vision One 主控台上,依次轉到 。
- 在步驟3中,點選Download CSR file。
CSR 檔案會下載到您的電腦防護。檔案名稱是 saml_encryption.csr。 - 使用您電腦防護的命令行介面打開 CSR 文件。
- 生成私鑰檔案。
- 輸入以下指令:
openssl genpkey -algorithm RSA -out ca_private_key.pem -pkeyopt rsa_keygen_bits:2048
私鑰檔案生成於與 CSR 檔案相同的檔案位置。檔案名稱是 ca_private_key.pem。 - 輸入以下指令:
- 生成憑證檔案。
- 輸入以下指令:
openssl req -x509 -new -nodes -key ca_private_key.pem -sha256 -days 1024 -out ca_certificate.pem
秘訣
將 -days 值更改為調整憑證有效期。 - 在提示時提供以下資訊。
-
國家名稱(2字母代碼)[AU]:US
-
州或省名稱(全名)[某州]:(留空)
-
所在地名稱(例如,城市)[ ]:(留空)
-
組織名稱(例如,公司)[網路 Widggits Pty Ltd]:趨勢科技
-
組織單位名稱(例如,部門)[ ]:(留空)
-
通用名稱(例如:伺服器 FODN 或您的名稱)[ ]:(留空)
-
電子郵件地址 [ ]: (留空)
憑證檔案會在與 CSR 檔案相同的檔案位置生成。檔案名稱是 ca_certificate.pem。 -
- 輸入以下指令:
- 生成加密憑證檔案。
- 輸入以下指令:
openssl x509 -req -in saml_encryption.csr -CA ca_certificate.pem -CAkey ca_private_key.pem -CAcreateserial -out certificate.crt -days 1024 -sha256
秘訣
將 -days 值更改為調整憑證有效期。
加密憑證檔案會在與 CSR 檔案相同的檔案位置生成。檔案名稱是 certificate.crt。 - 輸入以下指令:
- 在 Okta 中配置斷言加密。
- 以具有管理權限的使用者身份登入您的 Okta 組織。
- 前往,在ACTIVE部分,選擇sso-beta。
- 在sso-beta畫面的SAML Settings部分,點選編輯。
- 在Configure SAML畫面的General標籤上,點選Show Advanced Settings。
- 在Assertion Encryption旁邊,選擇已加密。
- 在Encryption Algorithm旁邊,選擇AES256-CBC。
- 在Key Transport Algorithm旁邊,選擇RSA-OAEP。
- 在Encryption Certificate旁邊,點選Browse files...並選擇您先前生成的certificate.crt檔案。
- 點選下一步。
- 點選Finish。