Puede configurar un proveedor de OpenID Connect para utilizar el algoritmo
RS256 de firma de señales de ID.
Acerca de esta tarea
Para configurar un proveedor de OpenID Connect para utilizar el algoritmo
de firma RSA-SHA256 para firmar señales de ID, establezca
signatureAlgorithm en RS256 y configure un almacén de claves con la
clave privada utilizada para la firma.
Procedimiento
- Establezca el atributo signatureAlgorithm del
proveedor de OpenID Connect en RS256.
- Puede configurar el OP de Liberty para que firme una señal de
ID con un certificado X509 en un almacén de claves físico, o un par
de claves RSA generadas automáticamente que es una clave
pública publicada y regenerada periódicamente en la ubicación
JWK in jwks_uri.
- Opcional: certificado X509
En el archivo
server.xml, cree un elemento
de almacén de claves que haga referencia al almacén de claves físico
que contiene la clave privada que es capaz de realizar un algoritmo
de firma RSA-SHA256. Por ejemplo:
<keyStore id="opTestKeyStore" location="${server.config.dir}/opKeyStore.jks" type="JKS" password="keystorePwd" />
Establezca el atributo
keyStoreRef en el
valor de ID del elemento del almacén de claves que se utiliza en
el paso 1 y establezca
keyAliasName para localizar
la clave privada en el almacén de claves.
Por ejemplo:
<openidConnectProvider id="OAuthConfigSample" oauthProviderRef="OAuthConfigSample" signatureAlgorithm="RS256" keyStoreRef="opTestKeyStore" keyAliasName="myOpKeyAlias" />
- Opcional: JWK
Para generar dinámicamente un par de claves de firma, y publicar
una clave pública en JWK, añada jwkEnabled="true". El
par de claves se regenera cada 12 horas y puede configurar
jwkRotationTime para modificar la frecuencia.
Resultados
Ahora ha configurado un proveedor de OpenID Connect para firmar señales de ID
con RSA-SHA256.