wso2am-2.6.0 неверная подпись jwt

Включение подписи JWT для серверных служб в WSO2AM-2.6.0 (ветка 6.x)

<JWTConfiguration>
  <EnableJWTGeneration>true</EnableJWTGeneration>
  <JWTHeader>X-JWT-Assertion</JWTHeader>
  <SignatureAlgorithm>SHA256withRSA</SignatureAlgorithm>
<JWTGeneratorImpl>org.wso2.carbon.apimgt.keymgt.token.JWTGenerator</JWTGeneratorImpl>

Однако разработчики жалуются, что подпись недействительна (согласно библиотеке JOSE). Я протестировал токен на странице http://jwt.io/, и он также утверждает, что подпись недействительна.

Я вижу из предыдущей версии (wso2am-2.1.0) генерация подписи изменена (без использования какой-либо внешней структуры), но также и для изменения подпись не считается действительной другими структурами (jose, jwt.io)

Любой способ настроить wso2am для создания действительной (действительной) подписи?

Редактировать:

Я вижу, что токен JWT подписан только с использованием APIMJWTGenerator, хотя это не помогает сделать токен корректным

Исключение составляет

"stacktrace": "org.jose4j.jwt.consumer.InvalidJwtException:
 Unable to process JOSE object (cause: org.jose4j.lang.UnresolvableKeyException:
 The X.509 Certificate Thumbprint header(s) in the JWS do not identify any of the provided Certificates - x5t=NTA3YzJmZDk0OTg4N2ViNWRlY2M4N2NlMDdjMmNlNjliOTRkYjM1OA vs. SHA-1 thumbs:[UHwv2UmIfrXezIfOB8LOablNs1g].)

проверка имеет какое-либо отношение к атрибуту заголовка x5t?

Edit2: очевидно, заголовок xt5t должен содержать подпись сертификата SHA-1, предоставленное значение NTA3YzJmZDk0OTg4N2ViNWRlY2M4N2NlMDdjMmNlNjliOTRkYjM1OA слишком длинный, чтобы быть SHA-1, или недействителен

Edit3:

Похоже, проблема связана с https://github.com/wso2/carbon-apimgt/issues/5535, где исправление, по-видимому, нарушает совместимость с бэкэнд-сервисами (и используемыми средами, готовя исправление).