使用 X509 证书验证 Docusign Connect 签名
Verifying Docusign Connect Signature with X509 Certificate
我正在设置一个 Docusign Connect 侦听器端点来侦听文档的更改。
我已经返回并正在解析数据,但现在我想验证这些请求是否确实来自 Docusign。查看文档,我注意到他们可以选择使用 X509 证书签署此信息。
就我个人而言,除了设置 HTTPS 之外,我没有对 SSL 做太多事情,所以这其中有很多都是猜测。我假设 Docusign 将使用 X509 证书签署他们的请求,该证书是 available here(或者至少是 some 类型的 X509 证书)。
我拿了上面的证书,随便翻了翻。它看起来好像是 DER 格式 (I checked that here). I've double-checked, and it correctly converts to the PEM format (-----BEGIN CERTIFICATE-----) and I can parse it with X509 libraries / OpenSSL.
我将如何检查这些将到达服务器的请求的有效性? Whosebug 上还有一些关于此的其他帖子,但其中大多数似乎都集中在 signing a request, or isn't very clear how to set it up. 抱歉,如果我不清楚,这个问题的措辞不是很好。
人们这样做的一种方法是在他们的网络服务器上配置客户端证书身份验证。这样就可以在您的应用处理请求之前完成。这种类型的方法在连接上始终可用。例如,Apache 可以做到这一点,IIS 应该也可以做到。
假设您还启用了 SOAP,则您提到的选项用于签署 SOAP 请求的正文。如果 TLS 连接已经允许您对客户端进行身份验证,您为什么要使用它?这是为了当连接被某种代理接收时,然后将 SOAP 主体转发到另一个 server/application 进行处理。签署 SOAP 正文允许该应用正确验证它来自 DocuSign,即使它无权访问 TLS 连接信息。
我正在设置一个 Docusign Connect 侦听器端点来侦听文档的更改。
我已经返回并正在解析数据,但现在我想验证这些请求是否确实来自 Docusign。查看文档,我注意到他们可以选择使用 X509 证书签署此信息。
就我个人而言,除了设置 HTTPS 之外,我没有对 SSL 做太多事情,所以这其中有很多都是猜测。我假设 Docusign 将使用 X509 证书签署他们的请求,该证书是 available here(或者至少是 some 类型的 X509 证书)。
我拿了上面的证书,随便翻了翻。它看起来好像是 DER 格式 (I checked that here). I've double-checked, and it correctly converts to the PEM format (-----BEGIN CERTIFICATE-----) and I can parse it with X509 libraries / OpenSSL.
我将如何检查这些将到达服务器的请求的有效性? Whosebug 上还有一些关于此的其他帖子,但其中大多数似乎都集中在 signing a request, or isn't very clear how to set it up. 抱歉,如果我不清楚,这个问题的措辞不是很好。
人们这样做的一种方法是在他们的网络服务器上配置客户端证书身份验证。这样就可以在您的应用处理请求之前完成。这种类型的方法在连接上始终可用。例如,Apache 可以做到这一点,IIS 应该也可以做到。
假设您还启用了 SOAP,则您提到的选项用于签署 SOAP 请求的正文。如果 TLS 连接已经允许您对客户端进行身份验证,您为什么要使用它?这是为了当连接被某种代理接收时,然后将 SOAP 主体转发到另一个 server/application 进行处理。签署 SOAP 正文允许该应用正确验证它来自 DocuSign,即使它无权访问 TLS 连接信息。