Почему кацерты игнорируются весной Самл?

Question

Я сделал реализацию, основанную на этом с FilesystemMetadataProvider: https://github.com/vdenotaris/spring-boot-security-saml-sample

Чтобы сделать SSL рукопожатия работу для артефакта связывания я должен был поставить/доверять сертификат ЦС для IDP в Java хранилище, используемой KeyManager ,

Я бы предпочел использовать cacerts в jre, если IDP изменил CA, но я не смог найти какое-либо свойство, чтобы Spring SAML вместо этого заглянул внутрь.

Кроме того, этот ответ предположить, что cacert игнорируется altogheter: Spring Security SAML - HTTPS connections

Почему в cacert игнорируется в Спринг SAML? Это кажется недостатком для меня.

Я проверил, что ЦС для IDP находится в файле cacert для моего jre. Если я удаляю компоненты, связанные с фабрикой TLS/socket, из конфигурации все равно не работает.

Answer 1

Да, cacerts игнорируется. Spring SAML использует пользовательские реализации для управления доверием, с целью обеспечения большего контроля над безопасностью системы. Вы всегда можете легко скопировать все сертификаты из cacerts в samlKeystore.

Answer 2

Ваш сертификат сертификата/JDK по умолчанию должен иметь сертификат ВПЛ, импортированный как доверие. Ваш собственный сертификат, используемый в менеджере JKS, должен иметь как минимум один закрытый ключ. Импортируйте ваше доверие в jdk_path/JRE/LIB/securitycacerts и повторите команду wget <your_idp_descriptor_url>