全部产品
Search

搜索本产品

    Resource Access Management:Gunakan OpenSSL untuk Mendapatkan Sidik Jari Penyedia Identitas OIDC

    文档中心

    Resource Access Management:Gunakan OpenSSL untuk Mendapatkan Sidik Jari Penyedia Identitas OIDC

    更新时间:Jun 27, 2025

    Topik ini menjelaskan cara mendapatkan sidik jari Sertifikat SSL atau TLS untuk Penyedia Identitas OpenID Connect (OIDC) menggunakan OpenSSL.

    Prasyarat

    Alat baris perintah OpenSSL telah terpasang dengan benar di sistem Anda. Contoh ini menggunakan Windows 10.

    1. Instal OpenSSL.

      1. Klik Win32/Win64 OpenSSL untuk mengunduh paket instalasi.

      2. Jalankan paket instalasi.

        Disarankan untuk menggunakan jalur instalasi default: C:\Program Files\OpenSSL-Win64.

    2. Atur variabel lingkungan secara manual.

      Klik kanan This PC di desktop Windows dan pilih Properties. Pada halaman yang muncul, klik Advanced system settings. Di kotak dialog System Properties, klik Environment Variables pada tab Advanced. Pada bagian System variables dari kotak dialog Environment Variables, pilih variabel sistem Path‌ dan tambahkan jalur direktori bin OpenSSL, seperti C:\Program Files\OpenSSL-Win64\bin.

    3. Verifikasi instalasi.

      Jalankan perintah berikut di Command Prompt atau PowerShell:

      openssl version

      • Jika keluarannya serupa dengan berikut, OpenSSL sudah terpasang.

        OpenSSL 3.4.1 11 Feb 2025

      • Jika sistem menampilkan pesan kesalahan yang menyatakan bahwa perintah tidak ditemukan atau tidak dapat diidentifikasi, pastikan direktori x:\xxx\OpenSSL-Win64\bin telah ditambahkan ke variabel lingkungan.

    Prosedur

    Dalam contoh berikut, nama domain https://oauth.aliyun.com digunakan. Dalam situasi nyata, gantilah dengan nama domain IdP Anda.

    Langkah 1: Dapatkan domain tingkat atas

    1. Untuk mengakses informasi konfigurasi OIDC IdP Anda, buat URL untuk dokumen konfigurasi IdP dengan menambahkan /.well-known/openid-configuration setelah URL dasar IdP. Dalam contoh ini, URL dasarnya adalah https://oauth.aliyun.com. Kode berikut menunjukkan URL yang dibuat untuk dokumen konfigurasi IdP:

      https://oauth.aliyun.com/.well-known/openid-configuration

    2. Buka browser untuk mengakses URL yang dibuat. Dalam dokumen konfigurasi JSON yang Anda peroleh, temukan bidang jwks_uri dan dapatkan nama domain lengkap (FQDN) oauth.aliyun.com dari nilai bidang tersebut. Nilai bidangnya adalah https://oauth.aliyun.com/v1/keys. Kode berikut menunjukkan dokumen konfigurasi JSON.

      URL untuk Dokumen Konfigurasi IdP

      {
    "authorization_endpoint": "https://signin.aliyun.com/oauth2/v1/auth",
    "code_challenge_methods_supported": [
        "plain",
        "S256"
    ],
    "id_token_signing_alg_values_supported": [
        "RS256"
    ],
    "issuer": "https://oauth.aliyun.com",
    //FQDN: oauth.aliyun.com
    "jwks_uri": "https://oauth.aliyun.com/v1/keys",
    "requestid": "f7d3899f-5677-4634-a7dd-832818bb062a",
    "response_types_supported": [
        "code"
    ],
    "revocation_endpoint": "https://oauth.aliyun.com/v1/revoke",
    "scopes_supported": [
        "openid",
        "aliuid",
        "profile"
    ],
    "subject_types_supported": [
        "public"
    ],
    "token_endpoint": "https://oauth.aliyun.com/v1/token",
    "userinfo_endpoint": "https://oauth.aliyun.com/v1/userinfo"
}

    Langkah 2: Dapatkan sertifikat

    1. Buka terminal dan jalankan perintah berikut. oauth.aliyun.com dalam perintah adalah FQDN yang diperoleh di Langkah 1.

      openssl s_client -servername oauth.aliyun.com -showcerts -connect oauth.aliyun.com:443

    2. Geser keluaran atau masukkan kata kunci (-----BEGIN CERTIFICATE----- atau -----END CERTIFICATE-----) untuk menemukan blok keluaran yang berisi sertifikat. Jika ada beberapa sertifikat, pilih sertifikat terakhir.

      Catatan

      Sertifikat standar dalam format PEM harus mencakup pengenal batas tetap berikut:

      • Pengenal awal: -----BEGIN CERTIFICATE-----

      • Pengenal akhir: -----END CERTIFICATE-----

      -----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv
···
-----END CERTIFICATE-----

    3. Salin seluruh konten sertifikat, termasuk pengenal awal dan akhir. Gunakan editor teks untuk membuat file, tempelkan konten sertifikat yang disalin ke dalam file, dan simpan file sebagai file .crt. Sebagai contoh, nama file bisa certificate.crt.

    4. Opsional. Verifikasi validitas file.

      Buka terminal dan jalankan perintah berikut. Jika tidak ada pesan kesalahan yang muncul, format file tersebut valid.

      openssl x509 -in certificate.crt -text -noout

    Langkah 3: Dapatkan sidik jari

    1. Buka terminal atau Command Prompt, masukkan perintah lengkap berikut, lalu tekan Enter.

      openssl x509 -in certificate.crt -fingerprint -sha1 -noout

      Sidik jari sertifikat berikut dikembalikan:

      SHA1 Fingerprint=90:2E:F2:DE:EB:3C:5B:13******

    2. Hapus semua tanda titik dua (:) dari sidik jari untuk mendapatkan sidik jari akhir.

      902EF2DEEB3C5B13******