自签名IdentityServer4签名凭据在生产中是否足够好？

Question

我们使用IdentityServer4，并且我们的版本从文件系统中的PFX文件或从windows证书存储加载签名密钥。使用证书是可行的。问题是-在生产中应该使用哪个证书颁发者？

是否推荐来自公共CA的证书？或者，拥有一个自签名证书(根本不需要CA )就足够了吗？

在我们的测试中，我们发现客户端仍然可以验证访问令牌中的签名，即使签名证书在客户端上没有有效的CA链。

在文档中，它说您还可以使用原始密钥材料而不是证书:在这种情况下，http://docs.identityserver.io/en/latest/topics/crypto.html#token-signing-and-validation将不会有任何CA链。

这导致我假设，当客户端加载公共签名密钥(通过HTTP(s)端点)时，CA链信息可能无论如何都不会被传递。是那么回事吗？通过通过HTTPs的加载机制，您还可以获得一个组合的安全机制。

因此，我的结论是，对于签名凭据，自签名证书与来自VeriSign的证书一样安全。这能得到证实吗？

Answer 1

签名和验证令牌时不涉及证书。仅私钥和公钥(RSA或ECDSA密钥)。

然而，证书对于将密钥“导入/传输”到.NET中非常有用，因此，我们并不关心是谁颁发了证书。

导入密钥时，一种方法是将包含公钥和私钥的证书捆绑在一起，并将其存储在PKCE#12文件(.pfx/.p12扩展名)中。然后将该文件加载到.NET中。在.NET 5之前，使用密钥有点困难。

更重要的是，您可以以一种安全的方式管理和部署私钥，并且它会随着时间的推移而持久存在。

或者，您可以添加对密钥轮换的支持。