<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>
</head>
<body dir="ltr">
<div style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">
Ahhh, yes.  I remember setting up a few SPs that explicitly asked for the certificate fingerprint (they didn't even take the certificate itself).  Obviously, that won't work.  So you're effectively left with doing the work of a key rollover anyways.</div>
<div style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">
<br>
</div>
<div style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">
I suppose the small fix for this particular SP is to configure the IDP to use a different signing key/cert for this one SP.</div>
<div style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">
<br>
</div>
<div style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">
Thanks for the explanation.</div>
<div style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">
<br>
</div>
<div style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">
Andy<br>
</div>
<div style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">
<br>
</div>
<div>
<div id="appendonsend"></div>
<div style="font-family:Arial,Helvetica,sans-serif; font-size:12pt; color:rgb(0,0,0)">
<br>
</div>
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font style="font-size:11pt" face="Calibri, sans-serif" color="#000000"><b>From:</b> users <users-bounces@shibboleth.net> on behalf of Cantor, Scott <cantor.2@osu.edu><br>
<b>Sent:</b> Thursday, January 21, 2021 11:29 AM<br>
<b>To:</b> Shib Users <users@shibboleth.net><br>
<b>Subject:</b> Re: IdP Signing Certificate question</font>
<div> </div>
</div>
<div class="BodyFragment"><font size="2"><span style="font-size:11pt">
<div class="PlainText">[This email originated from outside of OSU. Use caution with links and attachments.]<br>
<br>
On 1/21/21, 2:14 PM, "users on behalf of Andrew Jason Morgan" <users-bounces@shibboleth.net on behalf of morgan@oregonstate.edu> wrote:<br>
<br>
>    Is it possible to generate a new, self-signed cert using a modern signing algorithm such as SHA-256 from the same<br>
> private key?<br>
<br>
Yes.<br>
<br>
>  If so, won't data signed/encrypted with the private key still be able to be validated/decrypted by the SP which has the<br>
> new cert?<br>
<br>
This is about signing, encryption is in the other direction, and it's the opposite, whether an SP with the old certificate will continue to work if the new one is included in the signature's KeyInfo element. The certificate has nothing to do with the math of
 signing or encrypting data, that's about the key alone.<br>
<br>
But the answer is that there is exactly one SAML implementation with a fully documented and standardized answer, and that answer is yes. The answer for everything else is "maybe" and the answer for much of it is "no", they compare the certificates or certificate
 fingerprints in ways that defeat such a change.<br>
<br>
-- Scott<br>
<br>
<br>
--<br>
For Consortium Member technical support, see <a href="https://wiki.shibboleth.net/confluence/x/coFAAg">
https://wiki.shibboleth.net/confluence/x/coFAAg</a><br>
To unsubscribe from this list send an email to users-unsubscribe@shibboleth.net<br>
</div>
</span></font></div>
</div>
</body>
</html>