OpenZiti OIDC 服务端证书与签发者匹配问题解析

背景介绍

在OpenZiti项目中，当使用OIDC(OpenID Connect)认证服务时，系统管理员可能会配置alt_server_certs参数来支持多个服务器证书。然而，这种配置可能导致签发者(issuer)信息与实际的bindPoint.address不匹配的情况，从而引发认证问题。

问题根源分析

出现签发者不匹配的情况通常由以下几种配置场景引起：

1. 默认TLS端口使用差异：系统可能使用显式指定的端口(如8443)或隐式默认端口(443)，导致签发者URL中的端口信息不一致。

2. 证书SAN扩展问题：服务器证书或备用证书中可能包含多个主题备用名称(SAN)，这些额外的名称会被识别为有效的签发者。

3. 多绑定点配置：当系统配置了多个绑定点且使用不同端口时，每个绑定点都可能被视为独立的签发者。

4. 发现端点路径差异：系统可能同时支持根路径下的.well-known发现端点和/oidc/.well-known路径，这两种路径会被视为不同的签发者。

技术影响

这种签发者不匹配问题会导致以下技术影响：

1. OIDC客户端验证失败：客户端在验证ID Token时会检查签发者是否与预期值匹配，不匹配将导致认证失败。

2. 配置复杂性增加：管理员需要确保所有可能的签发者变体都被正确配置和验证。

3. 安全性隐患：如果签发者验证不严格，可能为中间人攻击提供可乘之机。

解决方案

OpenZiti团队通过代码提交解决了这一问题，主要改进包括：

1. 签发者规范化处理：系统现在会自动规范化所有可能的签发者URL，包括处理默认端口和路径差异。

2. 多签发者支持：系统能够识别并接受所有有效的签发者变体，而不仅限于bindPoint.address指定的值。

3. 证书SAN处理优化：改进对证书中SAN扩展的处理逻辑，确保所有合法的签发者都被正确识别。

最佳实践建议

基于这一问题的解决经验，建议OpenZiti管理员在配置OIDC时注意以下几点：

1. 统一端口配置：尽量在所有配置中使用一致的端口号，避免显式和隐式端口混用。

2. SAN扩展谨慎使用：在证书中只添加必要的SAN条目，避免引入不必要的签发者变体。

3. 绑定点简化：除非必要，尽量减少不同端口的绑定点配置。

4. 发现端点标准化：选择单一的标准发现端点路径(根路径或/oidc路径)，避免两者混用。

总结

OpenZiti对OIDC签发者匹配问题的解决，提升了系统的兼容性和安全性。这一改进使得系统能够更灵活地处理各种证书配置场景，同时确保OIDC认证流程的可靠性。管理员在配置相关功能时，应充分理解这些改进带来的变化，以优化系统配置。