Dapatkan cap jempol untuk penyedia identitas OpenID Connect - AWS Identity and Access Management
Dapatkan cap jempol sertifikatInstal Buka SSLKonfigurasikan Buka SSL

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dapatkan cap jempol untuk penyedia identitas OpenID Connect

Saat Anda membuat penyedia identitas OpenID Connect (OIDC) diIAM, IAM memerlukan cap jempol untuk otoritas sertifikat perantara (CA) teratas yang menandatangani sertifikat yang digunakan oleh penyedia identitas eksternal (iDP). Cetak jempol adalah tanda tangan untuk sertifikat CA yang digunakan untuk menerbitkan sertifikat untuk iDP yang OIDC kompatibel. Saat Anda membuat penyedia IAM OIDC identitas, Anda mempercayai identitas yang diautentikasi oleh IDP tersebut untuk memiliki akses ke identitas Anda. Akun AWS Dengan menggunakan cap jempol sertifikat CA, Anda mempercayai sertifikat apa pun yang dikeluarkan oleh CA tersebut dengan DNS nama yang sama dengan yang terdaftar. Ini menghilangkan perlunya memperbarui kepercayaan di setiap akun ketika Anda memperpanjang sertifikat tanda tangan IdP.

penting

Dalam kebanyakan kasus, server federasi menggunakan dua sertifikat berbeda:

  • Yang pertama membuat HTTPS koneksi antara AWS dan IDP Anda. Ini harus dikeluarkan oleh CA root publik yang terkenal, seperti AWS Certificate Manager. Hal ini memungkinkan klien untuk memeriksa keandalan dan status sertifikat.

  • Yang kedua digunakan untuk mengenkripsi token, dan harus ditandatangani oleh CA root pribadi atau publik.

Anda dapat membuat penyedia IAM OIDC identitas dengan AWS Command Line Interface, Alat untuk Windows PowerShell, atau IAM API. Saat Anda menggunakan metode ini, Anda memiliki opsi untuk memberikan sidik jari secara manual. Jika Anda memilih untuk tidak menyertakan sidik jari, IAM akan mengambil cap jempol CA menengah atas dari sertifikat server iDP. OIDC Jika Anda memilih untuk menyertakan sidik jari, Anda harus mendapatkan sidik jari secara manual dan menyediakannya. AWS

Saat Anda membuat penyedia OIDC identitas dengan IAMkonsol, IAM mencoba mengambil cap jempol CA perantara teratas dari sertifikat server iDP OIDC untuk Anda.

Kami menyarankan Anda juga mendapatkan cap jempol untuk OIDC IDP Anda secara manual dan memverifikasi bahwa IAM mengambil sidik jari yang benar. Untuk informasi selengkapnya tentang mendapatkan cap jempol sertifikat, lihat bagian berikut.

catatan

AWS mengamankan komunikasi dengan penyedia OIDC identitas (IdPs) menggunakan pustaka otoritas sertifikat root tepercaya (CAs) kami untuk memverifikasi sertifikat titik akhir JSON Web Key Set (JWKS). TLS Jika OIDC IDP Anda bergantung pada sertifikat yang tidak ditandatangani oleh salah satu dari tepercaya iniCAs, maka kami mengamankan komunikasi menggunakan cap jempol yang diatur dalam konfigurasi iDP. AWS akan kembali ke verifikasi sidik jari jika kami tidak dapat mengambil TLS sertifikat atau jika TLS v1.3 diperlukan.

Dapatkan cap jempol sertifikat

Anda menggunakan browser web dan alat baris SSL perintah Buka untuk mendapatkan cap jempol sertifikat untuk penyedia. OIDC Namun, Anda tidak perlu mendapatkan cap jempol sertifikat secara manual untuk membuat penyedia IAM OIDC identitas. Anda dapat menggunakan prosedur berikut untuk mendapatkan cap jempol sertifikat penyedia AndaOIDC.

Untuk mendapatkan cap jempol untuk IDP OIDC

  1. Sebelum Anda bisa mendapatkan cap jempol untuk OIDC IDP, Anda perlu mendapatkan alat baris perintah BukaSSL. Anda menggunakan alat ini untuk mengunduh rantai sertifikat OIDC IDP dan menghasilkan sidik jari sertifikat akhir dalam rantai sertifikat. Jika Anda perlu menginstal dan mengkonfigurasi BukaSSL, ikuti instruksi di Instal Buka SSL danKonfigurasikan Buka SSL.

  2. Mulailah dengan OIDC iDP URL (misalnya,https://server.example.com), dan kemudian tambahkan /.well-known/openid-configuration untuk membentuk dokumen konfigurasi iDP, seperti berikut ini: URL

    https://server.example.com/.well-known/openid-configuration

    Buka ini URL di browser web, ganti server.example.com dengan nama server iDP Anda.

  3. Pada dokumen yang ditampilkan, gunakan fitur Cari pada browser web untuk menemukan teks "jwks_uri". Segera mengikuti teks"jwks_uri", ada titik dua (:) diikuti oleh aURL. Salin nama domain yang sepenuhnya memenuhi syarat dariURL. Jangan sertakan https:// atau jalur apa pun yang mengikuti domain tingkat atas. 

    {
 "issuer": "https://accounts.example.com",
 "authorization_endpoint": "https://accounts.example.com/o/oauth2/v2/auth",
 "device_authorization_endpoint": "https://oauth2.exampleapis.com/device/code",
 "token_endpoint": "https://oauth2.exampleapis.com/token",
 "userinfo_endpoint": "https://openidconnect.exampleapis.com/v1/userinfo",
 "revocation_endpoint": "https://oauth2.exampleapis.com/revoke",
 "jwks_uri": "https://www.exampleapis.com/oauth2/v3/certs",
...

  4. Gunakan alat Open SSL command line untuk menjalankan perintah berikut. Ganti keys.example.com dengan nama domain yang Anda peroleh di TahapĀ 3.

    openssl s_client -servername keys.example.com -showcerts -connect keys.example.com:443

  5. Di jendela perintah Anda, gulir ke atas hingga Anda melihat sertifikat yang serupa dengan contoh berikut. Jika Anda melihat lebih dari satu sertifikat, cari sertifikat terakhir yang ditampilkan (di bagian akhir output perintah). Ini berisi sertifikat CA menengah teratas dalam rantai otoritas sertifikat.

    -----BEGIN CERTIFICATE-----
 MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
 VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
 BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
 MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
 VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
 b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
 YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
 rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
 Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
 FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
 NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
 -----END CERTIFICATE-----

    Menyalin sertifikat (termasuk baris -----BEGIN CERTIFICATE----- dan -----END CERTIFICATE-----) dan tempel ke dalam file teks. Lalu simpan file dengan nama file certificate.crt.

    catatan

    Rantai sertifikat penyedia OIDC identitas harus dimulai dengan domain atau penerbitURL, menyertakan sertifikat perantara (jika ada), dan diakhiri dengan sertifikat root. Jika urutan rantai sertifikat berbeda atau menyertakan duplikat atau sertifikat tambahan, Anda akan menerima kesalahan ketidakcocokan tanda tangan dan STS gagal memvalidasi Token JSON Web (). JWT Perbaiki urutan sertifikat dalam rantai yang dikembalikan dari server untuk menyelesaikan kesalahan. Untuk informasi selengkapnya tentang standar rantai sertifikat, lihat certificate_list di RFC 5246 di situs web Seri. RFC

  6. Gunakan alat Open SSL command line untuk menjalankan perintah berikut.

    openssl x509 -in certificate.crt -fingerprint -sha1 -noout

    Jendela perintah Anda menampilkan sidik jari sertifikat, yang terlihat mirip dengan contoh berikut:

    SHA1 Fingerprint=99:0F:41:93:97:2F:2B:EC:F1:2D:DE:DA:52:37:F9:C9:52:F2:0D:9E

    Hapus karakter titik dua (:) dari string ini untuk membuat sidik jari akhir, seperti ini:

    990F4193972F2BECF12DDEDA5237F9C952F20D9E

  7. Jika Anda membuat penyedia IAM OIDC identitas dengan AWS CLI, Alat untuk Windows PowerShell, atau IAMAPI, memberikan cap jempol adalah opsional. Jika Anda memilih untuk tidak menyertakan sidik jari selama pembuatan, IAM akan mengambil cap jempol CA menengah atas dari sertifikat server iDP. OIDC Setelah penyedia IAM OIDC identitas dibuat, Anda dapat membandingkan sidik jari ini dengan sidik jari yang diambil oleh. IAM

    Jika Anda membuat penyedia IAM OIDC identitas di IAM konsol, konsol akan mencoba mengambil cap jempol CA perantara teratas dari sertifikat server iDP OIDC untuk Anda. Anda dapat membandingkan sidik jari ini dengan sidik jari yang diambil oleh. IAM Setelah penyedia IAM OIDC identitas dibuat, Anda dapat melihat sidik jari untuk penyedia IAM OIDC identitas di tab Verifikasi titik akhir pada halaman konsol Ringkasan OIDC penyedia.

    penting

    Jika sidik jari yang Anda peroleh tidak cocok dengan yang Anda lihat di detail cap jempol penyedia IAM OIDC identitas, Anda tidak boleh menggunakan penyedia. OIDC Sebagai gantinya, Anda harus menghapus OIDC penyedia yang dibuat dan kemudian mencoba lagi untuk membuat OIDC penyedia setelah beberapa waktu berlalu. Verifikasi bahwa cap jempol cocok sebelum Anda menggunakan penyedia. Jika sidik jari masih tidak cocok setelah upaya kedua, gunakan IAMForum untuk menghubungi. AWS

Instal Buka SSL

Jika Anda belum SSL menginstal Open, ikuti petunjuk di bagian ini.

Untuk menginstal Open SSL di Linux atau Unix

  1. Pergi ke OpenSSL: Source, Tarballs (https://openssl.org/source/).

  2. Unduh sumber terbaru dan buat paketnya.

Untuk menginstal Open SSL pada Windows

  1. Buka BukaSSL: Distribusi Biner (https://wiki.openssl. org/index.php/Binaries) untuk daftar situs tempat Anda dapat menginstal versi Windows.

  2. Ikuti petunjuk di situs yang Anda pilih untuk memulai pemasangan.

  3. Jika Anda diminta memasang Microsoft Visual C++ 2008 Redistributables dan itu belum diinstal di sistem Anda, pilih tautan unduhan yang sesuai dengan lingkungan Anda. Ikuti petunjuk yang diberikan oleh Microsoft Visual C++ 2008 Redistributable Setup Wizard.

    catatan

    Jika Anda tidak yakin apakah Microsoft Visual C ++ 2008 Redistributables sudah diinstal pada sistem Anda, Anda dapat mencoba menginstal Open terlebih dahulu. SSL Open SSL installer menampilkan peringatan jika Microsoft Visual C ++ 2008 Redistributables belum diinstal. Pastikan Anda menginstal arsitektur (32-bit atau 64-bit) yang cocok dengan versi Open SSL yang Anda instal.

  4. Setelah Anda menginstal Microsoft Visual C ++ 2008 Redistributables, pilih versi yang sesuai dari Open SSL binari untuk lingkungan Anda dan simpan file secara lokal. Mulai Open SSL Setup Wizard.

  5. Ikuti petunjuk yang dijelaskan dalam Open SSL Setup Wizard.

Konfigurasikan Buka SSL

Sebelum Anda menggunakan SSL perintah Buka, Anda harus mengkonfigurasi sistem operasi sehingga memiliki informasi tentang lokasi di mana Open SSL diinstal.

Untuk mengkonfigurasi Buka SSL di Linux atau Unix

  1. Pada baris perintah, atur OpenSSL_HOME variabel ke lokasi SSL instalasi Buka:

    $ export OpenSSL_HOME=path_to_your_OpenSSL_installation

  2. Atur jalur untuk menyertakan SSL instalasi Buka:

    $ export PATH=$PATH:$OpenSSL_HOME/bin
    catatan

    Perubahan apa pun yang Anda lakukan terhadap variabel dengan perintah export hanya berlaku untuk sesi saat ini. Anda dapat membuat perubahan terus-menerus pada variabel lingkungan dengan menyetelnya di file konfigurasi shell Anda. Untuk informasi lebih lanjut, lihat dokumentasi untuk sistem operasi Anda.

Untuk mengkonfigurasi Buka SSL di Windows

  1. Buka jendela Prompt Perintah.

  2. Mengatur OpenSSL_HOME variabel ke lokasi SSL instalasi Open:

    C:\> set OpenSSL_HOME=path_to_your_OpenSSL_installation

  3. Atur OpenSSL_CONF variabel ke lokasi file konfigurasi di SSL instalasi Open Anda:

    C:\> set OpenSSL_CONF=path_to_your_OpenSSL_installation\bin\openssl.cfg

  4. Atur jalur untuk menyertakan SSL instalasi Buka:

    C:\> set Path=%Path%;%OpenSSL_HOME%\bin
    catatan

    Perubahan apa pun yang Anda lakukan terhadap variabel lingkungan Windows dalam jendela Prompt Perintah hanya valid untuk sesi baris perintah saat ini. Anda dapat membuat perubahan persisten pada variabel lingkungan dengan mengaturnya sebagai properti sistem. Prosedur yang tepat tergantung pada versi Windows yang Anda gunakan. (Misalnya, di Windows 7, buka Panel Kontrol, Sistem dan Keamanan, Sistem. Kemudian pilih Pengaturan sistem lanjutan, tab Lanjutan, Variabel Lingkungan.) Untuk informasi selengkapnya, lihat dokumentasi Windows.