Rem*_*emy 2 signing certificate asp.net-core identityserver4
我知道自签名证书不是加密服务器和浏览器之间的 SSL 流量的好主意。但这在 IdentityServer4 的上下文中重要吗?
它和对我来说更容易的 AddValidationKey() 之间的区别在哪里?
无论如何,我不是安全专家,不幸的是我的团队中没有人,所以我们在这里有点困惑,我想避免打开一个大的安全漏洞。同时,我不想让不必要的事情复杂化。
首先,在处理 IdentityServer 时,您需要处理多个密钥/证书。
您拥有 SSL/TLS(HTTPS) 流量的证书,并且该证书不应是自签名的。
您有 AddValidationKey/AddSigningCredentials 两者都处理令牌的签名。这需要一个单独的公钥/私钥。这可以使用自签名证书来完成。看这篇文章
您还需要处理数据保护 API ,它负责对发出的会话 cookie 进行加密。为了避免重新部署期间出现问题,您应该确保签名密钥(密钥环)在重新部署期间保持不变。
希望这是一个起点:-)
| 归档时间: |
|
| 查看次数: |
1235 次 |
| 最近记录: |