ロールオーバー証明書を確認するにはどうすればよいですか？

Question

SAMLアサーション（AZURE AD発行）から取得した証明書を確認したい

いつでも公開鍵をロールオーバーできます。私はそれが信頼できるルートストアで手動で管理できないことを意味していると仮定しています。

X509Certificate2.Verify()私はFalseを返しています。証明書が信頼できるルートストアにない場合です。 X509Certificate2.Build()を使用し、信頼できるかどうか無視するように設定する必要がありますか？

Answer 1

SAML2は、暗号化/署名鍵を標準ファイル形式で表現する便利な方法として証明書を使用します。関係者間で証明書を直接交換する必要があるため、証明書の内容は関係ありません。したがって、証明書の妥当性を検証する必要はありません。多くの配備では検証さえしません。

定期的に鍵のロールオーバーを行うIdpの場合、証明書を直接設定するのではなく、Idpのメタデータを読み込んで信頼する必要があります。

これをすべて自分で実装する場合は、既存の実装を探してみることをお勧めします。メタデータの読み込みをサポートするSAML2の完全な実装を行うことは簡単ではなく、時間がかかります。