在IdentityServer4中,用于签署令牌的证书在生产环境中必须来自受信任的CA吗?
我的理解是不需要,但我似乎找不到一个明确的答案。
那么显而易见的后续问题是,它应该来自受信任的CA吗?
在IdentityServer4中,用于签署令牌的证书在生产环境中必须来自受信任的CA吗?
我的理解是不需要,但我似乎找不到一个明确的答案。
那么显而易见的后续问题是,它应该来自受信任的CA吗?
OpenID Connect并不强制要求使用X509证书 - 您也可以使用原始RSA或EC密钥。
如果您想使用X509,您可以自行签署它们。大多数库只检查发现文档中的公钥是否可用于验证令牌。
一些库允许对证书进行附加检查 - 某些环境强制执行此类检查。
但一般来说,不必使用由CA发行的证书。