5

アプリケーション認証用の証明書資格情報を使用して、Microsoft Azure Active Directory から JWT トークンを取得しようとしていました。

「x5t」の値を理解することに驚かされます。

私は試してみました

  • 公開証明書で使用可能な SHA-1 フィンガープリント値。
  • FVIC を使用した公開証明書の SHA-1 ハッシュ。

しかし、MSAログインエンドポイントにリクエストを送信すると、エラーが発生し続けます

{
    "error": "invalid_client",
    "error_description": "AADSTS70002: Error validating credentials. AADSTS50012: Client assertion contains an invalid signature. [Reason - The key was not found., Thumbprint of key used by client: '6F67F76B96F6FBBDF9D3EE1DDF7F9A7B877EE9C75DEDBD3DE9C7FB', Configured keys: [Key0:Start=06/01/2018, End=12/31/2099, Thumbprint=6WGktXA64QmA9TPv;Key1:Start=06/01/2018, End=12/31/2099, Thumbprint=rD9Q10sR6Q6ZkDVw;]]\r\nTrace ID: d9e3e276-e878-4b8a-b08b-10c82a0b0600\r\nCorrelation ID: 48ec889d-2376-45a6-9bf0-01b22b0e0c17\r\nTimestamp: 2018-06-01 09:38:24Z",
    "error_codes": [
        70002,
        50012
    ],
    "timestamp": "2018-06-01 09:38:24Z",
    "trace_id": "d9e3e276-e878-4b8a-b08b-10c82a0b0600",
    "correlation_id": "48ec889d-2376-45a6-9bf0-01b22b0e0c17"
}

「x5t」の値を取得する方法は?

4

2 に答える 2

2

base64urlx5tでエンコードされた X509 証明書の SHA-1 拇印である必要があります。

4.1.7. 「x5t」(X.509 証明書 SHA-1 拇印)ヘッダー パラメータ

「x5t」(X.509 証明書 SHA-1 拇印)ヘッダー パラメータは、デジタル署名に使用されるキーに対応する X.509 証明書 [RFC5280] の DER エンコーディングの base64url エンコードされた SHA-1 拇印(別名ダイジェスト)です。 JWS。証明書の拇印は、証明書の指紋とも呼ばれることがあることに注意してください。このヘッダー パラメータの使用はオプションです。

出典: RFC7515 — https://www.rfc-editor.org/rfc/rfc7515#section-4.1.7

于 2018-06-03T09:40:16.347 に答える