AddSigningCredential in IdentityServer4 -自签名或来自证书颁发机构

Question

我知道，对服务器和浏览器之间的SSL通信进行加密并不是一个好主意。但是，在IdentityServer4的上下文中，这有关系吗？

在我看来，这与AddValidationKey()之间有什么区别呢？

无论如何，我不是一个安全专家，不幸的是，在我的团队中没有人，所以我们在这里有点困惑，我想避免打开一个大的安全漏洞。同时，我不想让一些不必要的事情复杂化。

Answer 1

首先，在处理IdentityServer时，需要处理几个密钥/证书。

1. 您拥有SSL/TLS(HTTPS)通信的证书，此证书不应自签名。
2. 您有AddValidationKey/AddSigningCredentials，它们都处理令牌的签名。这需要一个单独的公钥/私钥。这可以使用自签名的证书来完成。参见此文章
3. 您还需要处理数据保护API，这负责加密发出的会话cookie。为了避免在重新部署期间出现问题，您应该确保在重新部署期间保持签名密钥(keyring)。

希望这是一个起点：)