使用 SSL 创建 OpenID 提供商

Question

所以我目前正在尝试创建一个 OpenID 提供商。我尝试过使用两个基于 Java 的 OpenID 服务器包 - Atlassian 的 Crowd 和 WSO2 Identity Server。现在，在我的实现中，安全性是必须的，这意味着使用 SSL 并具有基于 HTTPS 的 OpenID。现在，对于 WSO2 和 Crowd 来说，大量站点根本无法使用所提供的 OpenID。在测试的 20 个站点中，8 个使用 Crowd 失败，10 个使用 WSO2 失败。如此高的故障率确实令人无法接受。几乎每个有问题的站点都声称他们找不到 OpenID 端点。

当我使用不带 SSL 的 OpenID（基于 HTTP 的 OpenID）时，站点突然变得更加合规，只有两个站点出现故障。我使用的是 AusCERT 的证书，因此问题不应是由于自签名证书造成的。

起初我认为这只是有大量 RP 根本不接受基于 HTTPS 的 OpenID 的问题。我尝试使用 Verisign 的基于 HTTPS 的 OpenID 登录失败的相同站点，结果成功了。仔细观察 WSO2 和 Crowd，我发现它们都不完全符合 OpenID 2.0 规范——特别是，它们都没有在头部提供指向 yadis 发现的 XRDS 文档的链接。考虑到我的问题是站点无法在我提供的 URL 处发现 OpenID 端点，这似乎是相关的，只是当我不使用 SSL 时，基于 HTML 的发现就足够了。

有谁知道我的问题到底出在哪里？丢失的 XRDS 文件看起来应该是相关的，但它可能只是转移注意力。除此之外，如果有人知道 Crowd 或 WSO2 的一个很好的替代方案，它有很好的文档记录，符合规范，并且（相对）易于配置，那么很高兴知道！

Answer 1

需要注意的一件事是，某些提供商的 SSL 证书并未由某些 RP 认为具有权威的根机构签名。确保您从所有 RP 信任的证书处获取证书。

如果您的提供商可以选择 .NET，请查看免费开源 DotNetOpenAuth 库，您可以使用该库自行托管，并由一些主要 OP 使用，例如 MySpace 和 netidme.com 和其他 。它的 OpenID 2.0 实现已完成，它支持美国政府 ICAM OpenID 2.0 配置文件，并已用于许多互操作性、安全性和合规性测试，并且它可与 OpenID 1.1 和 2.0 RP 配合使用，因此您很可能拥有与许多/所有 RP 具有良好的互操作性。它有一堆其他安全功能，您只需打开它们即可（例如要求正如您所说，HTTPS 是一个要求）。

（全面披露：我写了 DotNetOpenAuth。）