使用自签名的SAML2证书颁发

Question

作为服务提供者，我们需要通过SAML2来支持使用Id-providor登录。为此，我们需要创建一个自签名证书。

为了测试目的，我使用以下方法创建了一个：

New-SelfSignedCertificate -Subject "CN=SAML2Test" -CertStoreLocation "cert:\LocalMachine\My" -FriendlyName "SAML2Test" -NotAfter (Get-Date).AddYears(10)

但是，当试图生成用于提交Id-providor的元数据时，第三方SAML库(.net)中会出现异常。

if (certificate.HasCngKey())
{
    CngKey key = certificate.GetCngPrivateKey(); // BREAKS HERE
    Security.Cryptography.RSACng rsa = new Security.Cryptography.RSACng(key);
    rsa.EncryptionPaddingMode = AsymmetricPaddingMode.Pkcs1;
    SigningKey = rsa;
}
else
{
    SigningKey = (RSACryptoServiceProvider)certificate.PrivateKey;
}

例外是

'System.Security.Cryptography.CryptographicException‘类型的异常发生在Security.Cryptography.dll中，但未在用户代码中处理 钥匙不存在

我不知道CNG的钥匙是什么。

你知道我在这以后是怎么进步的吗？

Answer 1

我发现原因是无法拿到私钥。在证书上，没有设置IIS_IUSRS访问私钥的权限。