在IdentityServer4中,用于签署令牌的证书在生产环境中必须来自受信任的CA吗?
我的理解是不需要,但我似乎找不到一个明确的答案。
那么显而易见的后续问题是,它应该来自受信任的CA吗?
1个回答
10
OpenID Connect并不强制要求使用X509证书 - 您也可以使用原始RSA或EC密钥。
如果您想使用X509,您可以自行签署它们。大多数库只检查发现文档中的公钥是否可用于验证令牌。
一些库允许对证书进行附加检查 - 某些环境强制执行此类检查。
但一般来说,不必使用由CA发行的证书。
- leastprivilege
2
你建议多久更新一次证书?客户会查看签名证书的过期日期吗?将过期日期设置在未来10年内是否可行? - Thieme
2规范并不要求检查过期日期。只要可以使用在发现终端点发布的公钥验证签名,一切都没问题。话虽如此 - 为了良好的加密卫生习惯,您应该定期更换密钥 - 比如每隔几个月。 - leastprivilege
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 6 IdentityServer 4 获取当前用户的访问令牌。
- 21 如何生成Identity Server签名证书
- 5 IdentityServer4令牌签名验证
- 5 将IdentityServer 4部署到Azure VM时找不到证书
- 5 .Net Core重置密码令牌和Identityserver 4令牌无效
- 7 IdentityServer MVC 令牌过期
- 13 什么是在AWS web应用程序中存储令牌签名证书的最佳方法?
- 8 ASP.NET Core Web API客户端不信任由Identity Server实例使用的自签名证书。
- 3 为 Identity Server 4 生成自签名证书时出现“X509 证书没有私钥”的错误。
- 17 在为Identity Server 4生成自签名证书时出现“error:23076071:PKCS12 routines:PKCS12_parse:mac verify failure”错误。