用于在IdentityServer4中签名令牌的证书是否必须来自生产中的受信任CA?
我公认的有限理解是它没有。但无论如何,我似乎无法找到确定的答案。
明显的后续行动是,应来自可靠的CA?
答案 0 :(得分:5)
OpenID Connect根本不要求使用X509证书 - 您也可以使用原始RSA或EC密钥。
如果您想使用X509,您可以自行签名。大多数库仅检查发现文档中的公钥是否可用于验证令牌。
某些图书馆允许对证书进行额外检查 - 某些环境要求进行此类检查。
但一般而言 - CA颁发的证书不是必需的。