我正在使用STS签名的令牌在我们的WCF服务上实现WS-Trust安全性。我们的依赖方应用程序验证令牌中指定的证书是否与应用程序配置中指定的指纹匹配。
WS-Trust中的RP是否需要在指纹之外对SAML签名证书进行额外验证?我组织外的RP是否要求我的令牌签名证书由受信任的CA签名?它还会验证证书本身是否已过期?或者RP是否明确指定它所信任的指纹这一事实意味着它只是在寻找指纹而没有别的?
我意识到可以禁用证书验证,但我最关心的是一个不受我控制的RP,并且可能遵循WS-Trust和SAML的最严格要求。
答案 0 :(得分:1)
令牌签名证书可以自签名。在IdP和依赖方之间建立联盟期间,令牌签名证书和颁发者字符串被提供给依赖方 - 因此,对于签名验证,RP应验证的所有内容是令牌由其信任的发行者颁发(发行者的价值)并且由它对发行者的密钥签名(令牌中包含的密钥的指纹验证不够,RP必须验证令牌xml文档的数字签名)。 如果身份提供者在元数据端点上发布其令牌签名密钥 - 端点必须使用由受信任机构颁发的服务器证书的ssl。
希望有所帮助。