理解服务器安全证书

Question

Am目前使用Kentor.AuthServices在我的MVC应用程序中实现单点登录。配置包含两个元素&< signingCertificate >和< serviceCertificates >，它们似乎指向本地计算机上的X.509证书。

现在，我想这些证书与为SSL安装的证书不同吧？文档将这些称为“签名”证书。到目前为止，我看到的唯一链接似乎是为了制作您自己的“自签名”证书。我想这些不能在现场应用程序上使用吧？如果没有，我如何取得这样的证书？

Answer 1

AuthServices配置中有两个地方包含证书。

• signingCertificate是一个证书，它引用Idp用来对它创建的SAML2断言进行签名的证书。最简单的方法是让AuthServices将其作为Idp元数据的一部分加载，但是如果不可能，您可以下载证书并配置它。您只需要此证书的公钥(通常为.cer文件)。国内流离失所者应该保持它的私钥很好的安全。
• serviceCertificate正好相反--这就是AuthServices用来对传出请求进行签名的方法(如果需要的话，在简单的设置中就不是了)。SAML2包含了它自己的分发证书的方法(通过元数据)，因此自签名证书通常可以使用。

Answer 2

签名证书是一个证书，它的目的标志设置为允许将其用于代码签名。正常的SSL/TLS服务器证书通常没有设置该标志。您可以从(大部分)销售服务器证书的CA获得签名证书，但是代码签名证书的价格(和文件)通常是不同的。