스프링 보안 SAML IdP 메타 데이터 인증서 및 서명

Question

https://stackoverflow.com/a/25384924/1317559을 비롯한 많은 질문을 검토했습니다. IdP 메타 데이터와 인증서가 있지만 Spring을 볼 수없는 것처럼 보입니다.

• 추가 키 저장소에 인증서 : 메타 데이터에
• certificate.crt 키 도구 -importcert -alias adfssigning -keystore samlKeystore.jks - 파일은 여러 개의 인증서 (2 다른 사람)과의 SignatureValue있다.
• 동일한 keytool 명령으로 서명 값을 추가하려고 시도했지만 인증서가 아닙니다.
• 메타 데이터에있는 2 개의 인증서도 추가하려고했습니다.

나는 디버깅 로그를 활성화하고 이것은 내가 무엇을 얻을 수 있습니다 :

• 성공적으로 확인 서명이
• 이 KeyInfo를 파생 자격
• 제공되는 신뢰할 수있는 이름의 신뢰를 구축하려고 자격 KeyInfo를 파생 사용 null 또는 공백, 이름 평가 건너 뛰기
• 신뢰할 수없는 신임장에서 PKIX 경로 유효성 검사 시도 : [subjectName = 'O = novell, OU = accessManager, CN = test-signing']
• PKIX 경로 구성이 신뢰할 수없는 자격 증명에 대해 실패했습니다. [subjectName = 'O = novell, OU = accessManager, CN = 테스트 서명] : 요청한 대상에 대한 유효한 인증서 경로를 찾을 수 없습니다.
• PKIX를 통해 서명 트러스트를 설정할 수 없습니다.
• 이의 신뢰를 설정하지 못했습니다 자격 증명에 서명 검증하는 KeyInfo 파생 자격
• 서명을 확인 및/또는 유효하고 신뢰할 수있는 서명을 해결할 수없는 서명의
• PKIX 검증이 실패한 KeyInfo를 파생 자격 증명을 사용하여 신뢰를 설정하지 못했습니다 키
• 서명 신뢰 설정 실패 서명 신뢰 구축 org.opensaml.saml2.metadata.provider.SignatureValidationFilter.verifySignature에서 메타 데이터 항목 실패 (SignatureValidationFilter.java : 메타 데이터 항목 http://idp.ppd.com/nidp/saml2/metadata
• 오류 필터링 메타 데이터 org.opensaml.saml2.metadata.provider.FilterException가 http://idp.ppd.com/nidp/saml2/metadata에서 : 312)

Answer 1

스프링 SAML 매뉴얼은 chapter 7.2.4에 메타 데이터 신뢰 확인을 설명합니다. 한 가지 옵션은 신뢰 확인을 비활성화하거나 메타 데이터에서 서명 XML을 수동으로 제거하는 것입니다. 단지 samlKeystore.jks로 가져올 인증서는 특정 SP 또는 IDP 엔터티에 대한 서명/암호화 인증서가 아니라 메타 데이터 서명을 생성하는 데 사용되는 인증서입니다.

Answer 2

이 문제는 해결되었습니다. 사실 많은 문제가있었습니다. 합니다 (IDP 메타 데이터에 서명 한 후 첫 번째) 공인 인증서를 추가 할 수

• 필요 기타 소스, 보안 아래 samlKeystore.jks에 : 나는 봄 SAML 샘플 응용 프로그램을 사용하고 있습니다.
• 암호는 nalle123입니다.
• securityContext.xml 파일에 아무 것도 넣지 마십시오.

Answer 3

또한 주목할 가치가 있습니다. ADFS 생성 한 줄자를 다시 포맷 할 때 나에게 일어난 서명 된 파일을 변경하지 마십시오. 분명히 파일의 서명을 변경합니다.