2016-05-24 3 views
0

SAMLアサーション(AZURE AD発行)から取得した証明書を確認したいロールオーバー証明書を確認するにはどうすればよいですか?

いつでも公開鍵をロールオーバーできます。私はそれが信頼できるルートストアで手動で管理できないことを意味していると仮定しています。

X509Certificate2.Verify()私はFalseを返しています。証明書が信頼できるルートストアにない場合です。 X509Certificate2.Build()を使用し、信頼できるかどうか無視するように設定する必要がありますか?

答えて

0

SAML2は、暗号化/署名鍵を標準ファイル形式で表現する便利な方法として証明書を使用します。関係者間で証明書を直接交換する必要があるため、証明書の内容は関係ありません。したがって、証明書の妥当性を検証する必要はありません。多くの配備では検証さえしません。

定期的に鍵のロールオーバーを行うIdpの場合、証明書を直接設定するのではなく、Idpのメタデータを読み込んで信頼する必要があります。

これをすべて自分で実装する場合は、既存の実装を探してみることをお勧めします。メタデータの読み込みをサポートするSAML2の完全な実装を行うことは簡単ではなく、時間がかかります。

+0

「証明書の有効性を確認する必要はありません」と言えば、証明書がIdpメタデータの証明書と一致することを確認する必要があります。 –

+0

はい、メタデータと一致することを確認する必要があります。 –

関連する問題