Security IdP元数据证书和签名

Question

我看过很多问题，包括https://stackoverflow.com/a/25384924/1317559。我有IdP元数据和证书，但似乎无法获得Spring，所以请看它。

• 将证书添加到keystore: keytool -importcert -alias adfs签名-keystore samlKeystore.jks -file certificate.crt
• 元数据中有多个证书(两个不同的证书)和一个SignatureValue。
• 我尝试用相同的keytool命令添加签名值，但它不是证书。
• 我还尝试添加元数据中的2个证书。

我启用了调试日志，这就是我得到的结果：

• 使用KeyInfo派生凭据成功验证签名
• 试图建立KeyInfo派生凭据的信任
• 提供的可信名称为空或空，跳过名称计算。
• 尝试在不可信凭据上验证PKIX路径: subjectName='O=novell，OU=accessManager，CN=test-签名‘
• 不可信凭据: subjectName='O=novell，OU=accessManager，CN=test-signing'：无法找到指向请求目标的有效证书路径
• 签名信任不能通过签署凭证的PKIX验证来建立。
• 未能建立KeyInfo派生凭据的信任
• 未能使用任何KeyInfo派生凭据验证签名和/或建立信任
• 签名的PKIX验证失败，无法解析有效和可信的签名密钥
• 元数据输入http://idp.ppd.com/nidp/saml2/metadata签名信任建立失败
• 从org.opensaml.saml2.metadata.provider.FilterException:签名信任建立筛选元数据时出错，org.opensaml.saml2.metadata.provider.SignatureValidationFilter.verifySignature(SignatureValidationFilter.java:312)的元数据输入失败

Answer 1

Spring手册描述了第7.2.4章中的元数据信任验证。一种选择是禁用信任检查，或者从元数据中手动删除签名XML。正如您所发现的，要导入到samlKeystore.jks的证书是用来生成元数据签名的证书，而不是用于特定SP或IDP实体的签名/加密证书。

Answer 2

还值得注意的是:当我重新格式化ADFS生成的一行时，不要更改签名文件--发生在我身上。显然会改变文件的签名。

Answer 3

这个问题已经解决了。其实有很多问题。我正在使用Spring示例应用程序：

• 需要将公共证书(签名后的第一个证书，在idp元数据中)添加到其他源(安全性)下的samlKeystore.jks中。
• 密码是nalle123。
• 不要在securityContext.xml文件中放任何东西。