V typické instalaci Shibboleth IdP/SP potřebujete X.509 certifikát, kterým se komponenta identifikuje v rámci federace. V současné době je možné použít jakýkoliv server/client certifikát (včetně self-signed).

Je docela běžné použít ten samý certifikát, který se používá u SSL v Apachi (pro ochranu přihlašovacího formuláře).

Použite-li self-signed certifikát tak si nastavit delší platnost a ušetřit si tak starosti s výměnou metadat, ale na druhou stranu musíte zajistit jiný certifikát pro Apache.

Položka CN certifikátu musí odpovídat hostname serveru, na kterém je umístěna komponenta (IdP nebo SP).

V případě, že potřebujeme vyměnit certifikát v metadatech IdP nebo SP, pokud to provedeme klasickým způsobem, tj. metadata IdP/SP jednoduše vyměníme, pravděpodobně vznikne časové okno, během kterého nebude služba (ať už aplikace či autentizace) dostupná. Stane se tak, protože náš IdP/SP už používá nový certifikát, zatímco ostatní IdP/SP mají k dispozici ten starý, dokud neprovedou aktualizaci metadat.

Řešením je, udržovat po nějakou dobu v metadatech oba certifikáty. Vynikající návod v angličtině i s diagramy najdete na stránkach SWITCH.