Ответ 1
Сертификаты в SAML используются только как удобный способ обработки ключей подписи и шифрования. Обычно ключи передаются либо через метаданные, либо путем какой-либо безопасной передачи сертификата сторонам, участвующим в обмене SAML. Таким образом, нет необходимости проверять сертификаты в государственном органе.
Это также указано в спецификации метаданных SAML (строка 697).
В данной спецификации не указывается ни о допустимом или предлагаемом содержании этого элемента, ни о его значении для проверяющей стороны. В качестве конкретного примера не следует предполагать никаких последствий включения сертификата X.509 по значению или ссылке. Срок его действия, продления, статус отзыва и другой соответствующий контент могут применяться, а могут и не применяться, по усмотрению проверяющей стороны.
Поэтому я бы просто продолжил использовать самоподписанный сертификат.
Но если вы хотите купить сертификат, он должен иметь "цифровую подпись" и "шифрование ключей". Обычные сертификаты SSL (по крайней мере, те, которые я проверял) действительно содержат эти использования.
Использование "цифровой подписи" должно быть самоочевидным. "Шифрование ключей" связано с тем, что ключ в сертификате не используется для прямого шифрования данных. Данные зашифрованы с помощью алгоритма симметричного ключа, подходящего для больших объемов данных. Этот ключ затем шифруется с помощью ключа RSA (RSA подходит для небольших данных, таких как ключ шифрования). Таким образом, ключ RSA используется для шифрования/шифрования ключа.