自簽名證書是否可供簽署SAML令牌？

Question

我正在使用由STS簽名的令牌在我們的WCF服務上實現WS-Trust安全性。我們的依賴方應用程序驗證令牌中指定的證書與應用程序配置中指定的指紋相匹配。

WS-Trust中的RP是否需要額外驗證SAML簽名證書超出其指紋？我組織外部的RP是否會要求我的令牌簽名證書由可信任的CA簽署？它是否也驗證證書本身是否過期？或者，RP是否明確地指定了它所信任的指紋這一事實意味着它只查找指紋而沒有其他指示？

我意識到可以禁用證書驗證，但我主要關心的是一個不在我的控制範圍內的RP，並且可能遵循WS-Trust和SAML的最嚴格要求。

Answer 1

令牌簽名證書可以自簽名。在IdP和依賴方之間建立聯盟期間，令牌簽名證書和頒發者字符串被提供給依賴方 - 因此，對於簽名驗證，RP應該驗證的所有內容是令牌由其信任的發行者發佈（發行者的價值），並且由發行者擁有的密鑰簽名（令牌驗證包含在令牌中的密鑰是不夠的，RP必須驗證令牌xml文件的數字簽名）。 如果身份提供者在元數據端點上發佈其令牌簽名密鑰 - 端點必須使用由受信任的頒發機構頒發的服務器證書的ssl。

希望有所幫助。