Spring SAML - 在 JKS 中使用 CA 根证书而不是服务器 public 证书

Spring SAML - Use CA Root Cert instead of Server public cert in JKS

我有一个 Spring SAML 项目,其中有一个 JKS,其中加载了 IDP 的 public 证书。我有一个理论问题:

如果我将颁发根或中间 CA 加载到 JKS 中,这是否足以信任 IDP 并验证 IDP SAML 消息?这样做的好处是,未来具有共同颁发者的 IDP 将得到信任,而无需加载他们的证书。

我的理解是 IDP 的实际 public 证书需要在 JDK 中,以便 Spring SAML 可以验证请求,但是,不是 X509在足以执行此操作的请求中,只需验证 IDP public 元数据中的证书是否来自受信任的颁发者?

我对此有点头疼。任何见解或解释将不胜感激!

是的,您可以使用 PKIX 安全配置文件来做到这一点。将 IDP 证书加载到密钥库中应该就足够了(前提是 extendedMetadata 中的 trustedKeys 为 null,这是默认值)。

有关所有详细信息,请参阅 the manual, chapter security profiles