0

对于我的 Identity Server 4,我们设置了两个不同的服务器来托管应用程序。我要求我们的运营团队在两台服务器上安装相同的证书。但是,他们都收到了不同的指纹,并且证书中的值在以下字段中有所不同:kid、x5t、n 并且 x5c 链中的值在两者之间也不同,当我加载 .well-known/ openid 配置/jwks 地址。我已经在下面发布了密钥。这行得通吗?我认为如果 x5c.0 值基于相同的私钥,它们的值将相同。

第一个键:

keys    
0   
kty "RSA"
use "sig"
kid "8366EB61F60720FE0FCC5C0E6BF3E5F8ACC98E2DRS256"
x5t "g2brYfYHIP4PzFwOa_Pl-KzJji0"
e   "AQAB"
n   "6sYPa_JNapDqcw3KgvlmtbrrCuYCd1sq3R_3Ao1aAW7bHjdN1isphP8eWsCA5WeTDmDSfE1GsN2ri0pyVY8LlqAYznEyqHI1FDVS_d601TMiq_WiMTapnQQKFdw0SF1xLNWVT13QsosgErYq0g7pJvlpYDRRXymU8Arw0LMya6nD2sMbFggYEpqMdT_j7KLiZ6oC_2G5v4VVaMdZOF8ppzUkFFtj4MU4k7J_8zVM1LbCy8vH8uyjxGqCsRzbryDu-yhQmPy1FIXBX4ZZgXy8gB2bLLPtndba9rmSFMq4VbWDjwe2hqAF7X4yvru0bGeu_4mxB10vxO2KPP9Sqaniqw"
x5c 
0   "MIIFvDCCA6SgAwIBAgITHQAAADE6PYCZMMXL9QAAAAAAMTANB8VHvcXFg4="
alg "RS256"

keys    
0   
kty "RSA"
use "sig"
kid "B2042B75C33612AC9BD31051B2821E5DEB4D0F34RS256"
x5t "sgQrdcM2Eqyb0xBRsoIeXetNDzQ"
e   "AQAB"
n   "zJiOYj3NhxS4vxte0GtimbMwu6DtFHISguFdlLaroRQaNciqVynyRYJ2v8y5194miwT_K3jtKnh9lSGz93Q7Z500kvmZjS9boqQFn8g-I_02FOUUcLzsJJOTcBGqt6lvja5YlVhdWKG92sq8RizkDm28GV6bdDLh8mbR6GtwyvD2iN7aHs7nE6Z-S5doFlkr4SJ9lUxNMr18WpQHqXvP3Z0lpr8E5DRVv80n5HS7u9uusZvhryOp1QgQGfikCqPc8XNcZ9GyXhtGJkHD-QlpUZVbondHZOCi5IKOUrq7LK4cgILB-zDVIGVpyl0JhhjCCp02wq9kWcgKAvTcb8m8Aw"
x5c 
0   "MIIFmjCCA4KgBpvenCRU6YuvZamis9K4OrGuKNK0EwNe1tbPMViVE++/H21P/utQ=="
alg "RS256"
4

1 回答 1

1

为什么不在 IdentityServer 的两个安装中使用具有相同私钥的相同签名密钥证书?

您还需要记住,域名(服务器)的证书与令牌签名密钥是分开的。

令牌签名密钥在两种情况下都必须相同。要安装私有签名密钥,可以方便地将其封装在 X509 证书中。

证书包含一个私钥,您可以根据保存的私钥拥有许多证书。我将使用openssl为令牌生成私有签名密钥,并将域证书分开,只是为了明确分离关注点。如果您使用 Azure Key Vault,您甚至可以直接在其中创建和存储密钥。

于 2020-10-12T14:14:20.197 回答