我有一个Spring SAML项目,它有一个JKS,其中加载了IDP的公共证书。我有一个理论问题:
如果我要将发布的根或中间CA加载到JKS中,这是否足以信任IDP并验证IDP SAML消息?这样做的好处是,无需加载证书即可信任具有共同发行人的未来国内流离失所者。
我的理解是,IDP的实际公共证书需要在JDK中,以便Spring SAML可以验证请求,但是,请求中的X509不足以做到这一点,而且它是'只是验证IDP公共元数据中的证书来自受信任的发行人?
我对此有点过头了。任何见解或解释将不胜感激!
答案 0 :(得分:1)
是的,您可以使用PKIX安全配置文件执行此操作。将IDP证书加载到密钥库中应该足够了(前提是extendedMetadata中的trustedKeys为null,这是默认值)。
有关所有详细信息,请参阅the manual, chapter security profiles。