Самоподписанный сертификат для подписи токена IdentityServer 4

Question

Требуется ли сертификат, используемый для подписи токенов в IdentityServer4, от доверенного ЦС в производстве?

Мое, по общему признанию, ограниченное понимание, что это не так.Но я не могу найти однозначного ответа в любом случае.

И очевидное продолжение: должно быть от доверенного центра сертификации?

Answer 1

OpenID Connect вообще не требует использования сертификатов X509 - вы также можете использовать необработанные ключи RSA или EC.

Если вы хотите использовать X509, вы можете самостоятельно подписать их.Большинство библиотек только проверяют, можно ли использовать открытый ключ в документе обнаружения для проверки токена.

Некоторые библиотеки допускают дополнительные проверки сертификата - а некоторые среды требуют таких проверок.

Но обычноговоря - выданные CA сертификаты не нужны.