我正在尝试为重定向绑定创建一个SAML AuthnRequest。我的SAML重定向绑定签名有什么问题?
这是我的(匿名)AuthRequest:
<samlp:AuthnRequest AssertionConsumerServiceURL="https://tempuri.org/sp/AssertionConsumerService"
Destination="https://anothertempuri.org/broker/sso"
ID="a18471d18a93430a8b97b05989ae238f"
IssueInstant="2017-07-23T14:15:26Z"
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Version="2.0"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">...</saml:Issuer>
</samlp:AuthnRequest>
我有一个的RelayState:
RelayState: 821eea8785134bbc8263be6838eda19d
而且SigAlg是http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
我放气,然后采用base64编码,然后URL - 编码请求。 (瘪,base64编码结果在SAMLTool Decoder检查出来。)
结果字符串被用于创建签名,然后看起来是这样的:
SAMLRequest=fZL...5MP&RelayState=821eea8785134bbc8263be6838eda19d&SigAlg=http%3A%2F%2Fwww.w3.org%2F2001%2F04%2Fxmldsig-more%23rsa-sha256
我试图创建与OpenSSL的签名:
openssl sha -sha256 -sign example.pem -out signed.sha256 theStringInAFile.txt
openssl base64 -in signed.sha256
,并用C#
byte[] data = File.ReadAllBytes(FileToSign);
data = SignBytes(data);
X509Certificate2 certificate = new X509Certificate2(CertFile, Password);
using (RSA rsa = certificate.GetRSAPrivateKey())
{
data = rsa.SignData(data, HashAlgorithmName.SHA256, RSASignaturePadding.Pkcs1);
}
signedData = Convert.ToBase64String(data, Base64FormattingOptions.None);
和(也与C#):
var signatureDescription = (SignatureDescription)CryptoConfig.CreateFromName("http://www.w3.org/2001/04/xmldsig-more#rsa-sha256");
HashAlgorithm hashAlg = signatureDescription.CreateDigest();
hashAlg.ComputeHash(Encoding.UTF8.GetBytes(signString));
X509Certificate2 certificate = new X509Certificate2(CertFile, Password);
AsymmetricSignatureFormatter asymmetricSignatureFormatter = signatureDescription.CreateFormatter(certificate.GetRSAPrivateKey());
byte[] signatureValue = asymmetricSignatureFormatter.CreateSignature(hashAlg);
return Convert.ToBase64String(signatureValue);
这三种方法都产生相同的base64编码字符串(除了在OpenSSL结果换行符)。
不幸的是,当我尝试与经纪人一起使用时,他们说签名有问题,并且当我向SAMLTool AuthnRequest signing tool提供相同的信息时,我得到了不同的结果。
我在做什么错?
从C#代码的第一个块替换
这是一个编程的问题。我建议你发布在StackOverflow – pedrofb
从你的例子不清楚你是否签署了base64版本或原始的xml。你能澄清吗?我认为你想要签署的XML,而不是它的base64。 – explunit
@explunit:根据[规范](https://www.oasis-open.org/committees/download.php)对完整字符串'SAMLRequest = ...&RelayState = ...&SigAlg = ...'进行签名/56780/sstc-saml-bindings-errata-2.0-wd-06-diff.pdf)第3.4.4.1节第二项3. – Miel