自签名证书是否可供签署SAML令牌？

Question

我正在使用由STS签名的令牌在我们的WCF服务上实现WS-Trust安全性。我们的依赖方应用程序验证令牌中指定的证书与应用程序配置中指定的指纹相匹配。

WS-Trust中的RP是否需要额外验证SAML签名证书超出其指纹？我组织外部的RP是否会要求我的令牌签名证书由可信任的CA签署？它是否也验证证书本身是否过期？或者，RP是否明确地指定了它所信任的指纹这一事实意味着它只查找指纹而没有其他指示？

我意识到可以禁用证书验证，但我主要关心的是一个不在我的控制范围内的RP，并且可能遵循WS-Trust和SAML的最严格要求。

Answer 1

令牌签名证书可以自签名。在IdP和依赖方之间建立联盟期间，令牌签名证书和颁发者字符串被提供给依赖方 - 因此，对于签名验证，RP应该验证的所有内容是令牌由其信任的发行者发布（发行者的价值），并且由发行者拥有的密钥签名（令牌验证包含在令牌中的密钥是不够的，RP必须验证令牌xml文件的数字签名）。 如果身份提供者在元数据端点上发布其令牌签名密钥 - 端点必须使用由受信任的颁发机构颁发的服务器证书的ssl。

希望有所帮助。