我正在尝试验证已签名的XML SAML响应。它包含XML中的欺骗证书。
我在PEM文件中拥有已知的真实证书。
我跑步时
xmlsec1 --verify --pubkey-cert-pem pubkey-real.pem \
--id-attr:ID urn:oasis:names:tc:SAML:2.0:assertion:Assertion \
--node-id DaavCk888T6_KR-Rtdm52CZSceG saml-req-spoofed.xml
它正确验证了!它在欺骗的SAML请求中使用证书,而不是在命令行中传递的已知好的证书。我知道这一点,因为当我向参数添加--print-debug时,它会输出欺骗的证书信息。
是否有一种方法可以强制xmlsec1忽略XML文件中的证书,并强制它使用我在命令行中传递的证书?
我正在Mac上运行xmlsec1 1.2.20。
经过一番努力之后,我发现您可以尝试使用--enabled-key-data添加,例如:
--enabled-key-data rsa要么--enabled-key-data x509
这些都应该起作用。您也可以尝试
xmlsec1 --list-key-data查看可以选择的选项。