Ottenere l'impronta digitale per un provider di identità OpenID Connect - AWS Identity and Access Management
Ottenere l'impronta digitale del certificatoInstallare OpenSSLConfigurare OpenSSL

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ottenere l'impronta digitale per un provider di identità OpenID Connect

Durante la creazione di un provider di identità OpenID Connect (OIDC) in IAM, è necessario fornire un'impronta digitale per l'autorità di certificazione (CA) intermedia che ha firmato il certificato utilizzato dal gestore dell'identità digitale esterno. L'identificazione personale è una firma per il certificato della CA che è stato utilizzato per emettere il certificato per il provider di identità compatibile con OIDC. Durante la creazione di un provider di identità OIDC IAM, vengono considerate attendibili le identità autenticate da tale provider di identità per accedere al tuo Account AWS. Utilizzando l'impronta digitale del certificato della CA, si considera attendibile qualsiasi certificato emesso dalla CA con lo stesso nome DNS di quello registrato. Questo elimina la necessità di aggiornare i trust in ogni account quando si rinnova il certificato di firma del provider di identità.

Importante

Nella maggior parte dei casi, il server di federazione utilizza due certificati diversi:

  • Il primo stabilisce una connessione HTTPS tra AWS e del provider di IdP. Questo dovrebbe essere emesso da un CA root pubblica nota, ad esempio AWS Certificate Manager. Ciò consente al cliente di verificare l'affidabilità e lo stato del certificato.

  • Il secondo è usato per crittografare i token e deve essere firmato da un CA radice privato o pubblico.

Puoi creare e gestire un provider di identità OIDC IAM con la AWS Command Line Interface, Tools for Windows PowerShell o l'API IAM. Quando si utilizzano questi metodi, è possibile fornire un'impronta digitale manualmente. Se scegli di non includere un'impronta digitale, IAM recupererà l'impronta della CA intermedia superiore del certificato server IdP OIDC. Se scegli di includere un'impronta digitale, sarà necessario ottenere l'impronta manualmente e fornirla ad AWS.

Quando crei un provider di identità OIDC IAM nella console IAM, IAM prova a recuperare l'impronta digitale della CA intermedia del certificato server IdP OIDC per tuo conto.

Consigliamo di ottenere manualmente anche l'impronta digitale dell'IdP OIDC e di verificare che IAM abbia recuperato l'impronta digitale corretta. Per ulteriori informazioni su come ottenere impronte digitali dei certificati, consulta le seguenti sezioni.

Nota

AWS protegge le comunicazioni con i gestori dell'identità digitale (IdP) OIDC utilizzando la nostra libreria di autorità di certificazione (CA) root attendibili per verificare il certificato TLS dell'endpoint JSON Web Key Set (JWKS). Se il tuo IdP OIDC si basa su un certificato non firmato da una di queste CA attendibili, solo allora proteggiamo la comunicazione utilizzando le impronte digitali impostate nella configurazione dell'IdP. AWS ricorrerà alla verifica dell'impronta digitale se non siamo in grado di recuperare il certificato TLS o se è richiesto TLS v1.3.

Ottenere l'impronta digitale del certificato

Utilizzare un browser Web e lo strumento a riga di comando OpenSSL per ottenere l'impronta digitale per un provider OIDC. Tuttavia, non è necessario ottenere manualmente l'impronta digitale del certificato per creare un provider di identità OIDC IAM. Puoi utilizzare la procedura seguente per ottenere l'impronta digitale del certificato del provider OIDC.

Per ottenere l'identificazione personale per un provider di identità OIDC

  1. Prima di poter ottenere l'identificazione personale per un provider di identità OIDC, è necessario ottenere lo strumento a riga di comando OpenSSL. È possibile utilizzare questo strumento per scaricare la catena di certificati del provider di identità OIDC e produrre un'identificazione personale del certificato finale nella catena di certificati. Se è necessario installare e configurare OpenSSL, seguire le istruzioni in Installare OpenSSL e Configurare OpenSSL.

  2. Inizia con l'URL del provider di identità OIDC (ad esempio, https://server.example.com) e quindi aggiungi /.well-known/openid-configuration per formare l'URL per il documento di configurazione del provider di identità, nel modo seguente:

    https://server.example.com/.well-known/openid-configuration

    Apri questo URL in un browser Web sostituendo server.example.com con il nome del server del provider di identità.

  3. Nel documento visualizzato, utilizza l'opzione Trova del browser Web per individuare il testo "jwks_uri". Subito dopo il testo "jwks_uri" sono presenti due punti (:) seguiti da un URL. Copiare il nome di dominio completo dell'URL. Non includere il percorso https:// o qualsiasi altro percorso dopo il dominio di primo livello. 

    {
 "issuer": "https://accounts.example.com",
 "authorization_endpoint": "https://accounts.example.com/o/oauth2/v2/auth",
 "device_authorization_endpoint": "https://oauth2.exampleapis.com/device/code",
 "token_endpoint": "https://oauth2.exampleapis.com/token",
 "userinfo_endpoint": "https://openidconnect.exampleapis.com/v1/userinfo",
 "revocation_endpoint": "https://oauth2.exampleapis.com/revoke",
 "jwks_uri": "https://www.exampleapis.com/oauth2/v3/certs",
...

  4. Utilizzare lo strumento a riga di comando OpenSSL per eseguire il seguente comando. Sostituire keys.example.com con il nome di dominio ottenuto in Passo 3.

    openssl s_client -servername keys.example.com -showcerts -connect keys.example.com:443

  5. Nella finestra di comando, scorrere verso l'alto fino a visualizzare un certificato simile al seguente esempio. Se viene visualizzato più di un certificato, individua l'ultimo certificato visualizzato (nella parte inferiore dell'output di comando). Contiene il certificato della migliore CA intermedia nella catena della certification authority.

    -----BEGIN CERTIFICATE-----
 MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
 VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
 BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
 MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
 VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
 b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
 YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
 rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
 Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
 FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
 NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
 -----END CERTIFICATE-----

    Copiare il certificato (incluse le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----) e incollarlo in un file di testo. Salvare quindi il file con il nome certificate.crt.

    Nota

    La catena di certificati del provider di identità OIDC deve iniziare con l'URL del dominio o dell'emittente, includere eventuali certificati intermedi (se presenti) e terminare con il certificato root. Se l'ordine della catena di certificati è diverso o se include certificati duplicati o aggiuntivi, riceverai un errore di mancata corrispondenza della firma e STS non riuscirà a convalidare il JSON Web Token (JWT). Correggi l'ordine dei certificati nella catena restituita dal server per risolvere l'errore. Per ulteriori informazioni sugli standard della catena di certificati, consulta certificate_list nella RFC 5246 sul sito Web della serie RFC.

  6. Utilizzare lo strumento a riga di comando OpenSSL per eseguire il seguente comando.

    openssl x509 -in certificate.crt -fingerprint -sha1 -noout

    La finestra di comando visualizza l'identificazione personale del certificato, simile a quella dell'esempio seguente:

    SHA1 Fingerprint=99:0F:41:93:97:2F:2B:EC:F1:2D:DE:DA:52:37:F9:C9:52:F2:0D:9E

    Rimuovere i due punti (:) da questa stringa per ottenere l'identificazione personale finale, come segue:

    990F4193972F2BECF12DDEDA5237F9C952F20D9E

  7. Se stai creando il provider di identità OIDC IAM tramite la AWS CLI, Strumenti per Windows PowerShell o l'API IAM, la specifica di un'impronta digitale è facoltativa. Se scegli di non includere un'impronta digitale durante la creazione, IAM recupererà l'impronta della CA intermedia superiore del certificato server IdP OIDC. Dopo aver creato il provider di identità OIDC IAM, potrai confrontare questa impronta digitale con quella recuperata da IAM.

    Se stai creando il provider di identità OIDC IAM nella console IAM, la console prova a recuperare l'impronta digitale della CA intermedia del certificato server IdP OIDC. Puoi confrontare questa impronta digitale con quella recuperata da IAM. Dopo aver creato il provider di identità OIDC IAM, puoi visualizzare l'impronta digitale del provider di identità OIDC IAM nella scheda Verifica dell'endpoint nella pagina Riepilogo della console del provider OIDC.

    Importante

    Se l'impronta digitale ottenuta non corrisponde a quella riportata nei dettagli del provider di identità OIDC IAM, il provider OIDC non dovrebbe essere utilizzato. Sarà necessario invece eliminare il provider OIDC creato, quindi riprovare a creare il provider OIDC dopo un po' di tempo. Verifica che le impronte digitali corrispondano prima di utilizzare il provider. Se dopo un secondo tentativo non vi è comunque corrispondenza tra le identificazioni personali, accedere al forum di IAM per contattare AWS.

Installare OpenSSL

Se OpenSSL non è già installato, segui le istruzioni in questa sezione.

Come installare OpenSSL su Linux e Unix

  1. Passa a OpenSSL: Source, Tarballs (https://openssl.org/source/).

  2. Scarica l'origine più recente e compila il pacchetto.

Per installare OpenSSL in ambiente Windows

  1. Vai a OpenSSL: Distribuzioni binarie (https://wiki.openssl.org/index.php/Binaries) per un elenco di siti da cui è possibile installare la versione di Windows.

  2. Segui le istruzioni sul sito selezionato per avviare l'installazione.

  3. Se viene richiesto di installare Microsoft Visual C++ 2008 Redistributables e questo non è già installato sul tuo sistema, scegli il link di download appropriato per il tuo ambiente. Segui le istruzioni fornite dalla Installazione guidata di Microsoft Visual C++ 2008 Redistributable.

    Nota

    Se non sei sicuro che Microsoft Visual C++ 2008 Redistributables sia già installato nel sistema, puoi provare a installare prima OpenSSL. Il programma di installazione di OpenSSL visualizza un avviso se Microsoft Visual C++ 2008 Redistributables non è ancora installato. Assicurati di installare l'architettura (32 bit o 64 bit) che corrisponde alla versione di OpenSSL installata.

  4. Dopo aver installato Microsoft Visual C++ 2008 Redistributables, seleziona la versione appropriata dei file binari OpenSSL per l'ambiente e salva il file in locale. Avvia l'Installazione guidata di OpenSSL.

  5. Segui le istruzioni descritte in Installazione guidata di OpenSSL.

Configurare OpenSSL

Prima di utilizzare i comandi OpenSSL, è necessario configurare il sistema operativo in modo che contenga le informazioni sulla posizione in cui è installato OpenSSL.

Come configurare OpenSSL su Linux o Unix

  1. Alla riga di comando, imposta la variabile OpenSSL_HOME sulla posizione dell'installazione di OpenSSL:

    $ export OpenSSL_HOME=path_to_your_OpenSSL_installation

  2. Configura il percorso in modo da includere l'installazione di OpenSSL:

    $ export PATH=$PATH:$OpenSSL_HOME/bin
    Nota

    Eventuali modifiche apportate alle variabili di ambiente con il comando export sono valide solo per la sessione corrente. Puoi apportare modifiche permanenti alle variabili di ambiente impostandole nel file di configurazione della shell. Per ulteriori informazioni, consulta la documentazione relativa al sistema operativo in uso.

Come configurare OpenSSL su Windows

  1. Apri una finestra del prompt dei comandi.

  2. Configura la variabile OpenSSL_HOME sulla posizione dell'installazione di OpenSSL:

    C:\> set OpenSSL_HOME=path_to_your_OpenSSL_installation

  3. Imposta la variabile OpenSSL_CONF sulla posizione del file di configurazione nell'installazione di OpenSSL:

    C:\> set OpenSSL_CONF=path_to_your_OpenSSL_installation\bin\openssl.cfg

  4. Configura il percorso in modo da includere l'installazione di OpenSSL:

    C:\> set Path=%Path%;%OpenSSL_HOME%\bin
    Nota

    Eventuali modifiche apportate alle variabili di ambiente Windows in una finestra del prompt dei comandi sono valide solo per la sessione della riga di comando corrente. È possibile apportare modifiche permanenti alle variabili di ambiente impostandole come proprietà di sistema. Le procedure esatte dipendono dalla versione di Windows in uso. (Ad esempio, su Windows 7, apri Pannello di controllo, Sistema e sicurezza, Sistema. Quindi scegli Impostazioni di sistema avanzate, scheda Avanzate, Variabili di ambiente.) Per ulteriori informazioni, consulta la documentazione di Windows.