All Products
Search

This Product

    Resource Access Management:Mendapatkan sidik jari OIDC IdP dengan OpenSSL

    Document Center

    Resource Access Management:Mendapatkan sidik jari OIDC IdP dengan OpenSSL

    Last Updated:Mar 27, 2026

    Topik ini menjelaskan cara menggunakan OpenSSL untuk mendapatkan sidik jari sertifikat SSL/TLS dari penyedia identitas OpenID Connect (OIDC) (IdP).

    Prasyarat

    Pastikan alat baris perintah OpenSSL telah diinstal pada sistem operasi Anda. Topik ini menggunakan sistem operasi Windows 10 sebagai contoh.

    1. Instal OpenSSL.

      1. Unduh paket instalasi dari Win32/Win64 OpenSSL.

      2. Jalankan paket instalasi.

        Disarankan menggunakan path instalasi default (C:\Program Files\OpenSSL-Win64).

    2. Konfigurasikan variabel lingkungan secara manual.

      Di desktop, klik kanan This PC, pilih Properties > Advanced system settings > Environment Variables > System variables, lalu tambahkan path ke direktori bin OpenSSL (misalnya, C:\Program Files\OpenSSL-Win64\bin) ke Path.

    3. Verifikasi instalasi.

      Jalankan perintah berikut di Command Prompt atau PowerShell:

      openssl version

      • Jika output-nya mirip dengan berikut, berarti OpenSSL telah terinstal.

        OpenSSL 3.4.1 11 Feb 2025

      • Jika Anda menerima error "command not found" atau "is not recognized", periksa apakah variabel lingkungan Path mencakup direktori x:\xxx\OpenSSL-Win64\bin.

    Prosedur

    Prosedur ini menggunakan https://oauth.aliyun.com sebagai contoh nama domain. Gantilah dengan nama domain IdP Anda saat mengikuti langkah-langkah berikut.

    Langkah 1: Dapatkan nama domain lengkap (fully qualified domain name)

    1. Buat URL dokumen konfigurasi OIDC IdP Anda dengan menambahkan /.well-known/openid-configuration ke URL dasar IdP. Sebagai contoh, untuk https://oauth.aliyun.com, URL dokumen konfigurasinya adalah:

      https://oauth.aliyun.com/.well-known/openid-configuration

    2. Buka URL tersebut di browser web untuk melihat dokumen konfigurasi dalam format JSON. Di dalam dokumen tersebut, cari bidang jwks_uri dan ekstrak nama domain lengkap dari nilainya. Nama domain lengkap tidak mencakup protokol (https://) atau path apa pun setelahnya. Pada contoh ini, nama domain lengkapnya adalah oauth.aliyun.com.

      Dokumen konfigurasi IdP

      {
    "authorization_endpoint": "https://signin.aliyun.com/oauth2/v1/auth",
    "code_challenge_methods_supported": [
        "plain",
        "S256"
    ],
    "id_token_signing_alg_values_supported": [
        "RS256"
    ],
    "issuer": "https://oauth.aliyun.com",
    // Fully qualified domain name: oauth.aliyun.com
    "jwks_uri": "https://oauth.aliyun.com/v1/keys",
    "requestid": "f7d3899f-5677-4634-a7dd-832818bb062a",
    "response_types_supported": [
        "code"
    ],
    "revocation_endpoint": "https://oauth.aliyun.com/v1/revoke",
    "scopes_supported": [
        "openid",
        "aliuid",
        "profile"
    ],
    "subject_types_supported": [
        "public"
    ],
    "token_endpoint": "https://oauth.aliyun.com/v1/token",
    "userinfo_endpoint": "https://oauth.aliyun.com/v1/userinfo"
}

    Langkah 2: Dapatkan sertifikat

    1. Buka terminal dan jalankan perintah berikut. Ganti oauth.aliyun.com dengan nama domain lengkap dari Langkah 1.

      openssl s_client -servername oauth.aliyun.com -showcerts -connect oauth.aliyun.com:443

    2. Pada output perintah, temukan blok sertifikat dengan mencari penanda -----BEGIN CERTIFICATE----- dan -----END CERTIFICATE-----. Jika output berisi beberapa sertifikat, gunakan yang terakhir.

      Catatan

      Sertifikat berformat PEM standar harus mencakup penanda batas berikut:

      • Penanda awal: -----BEGIN CERTIFICATE-----.

      • Penanda akhir: -----END CERTIFICATE-----.

      -----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv
···
-----END CERTIFICATE-----

    3. Salin seluruh sertifikat, termasuk penanda awal dan akhir. Tempelkan ke file teks baru dan simpan file tersebut dengan ekstensi .crt. Sebagai contoh, beri nama file tersebut certificate.crt.

    4. (Opsional) Verifikasi validitas file.

      Jalankan perintah berikut di terminal. Jika perintah dijalankan tanpa error, berarti format file valid.

      openssl x509 -in certificate.crt -text -noout

    Langkah 3: Dapatkan sidik jari

    1. Di terminal atau Command Prompt, jalankan perintah berikut:

      openssl x509 -in certificate.crt -fingerprint -sha1 -noout

      Perintah ini menghasilkan sidik jari sertifikat.

      SHA1 Fingerprint=90:2E:F2:DE:EB:3C:5B:13******

    2. Hapus semua tanda titik dua (:) dari output untuk mendapatkan sidik jari.

      902EF2DEEB3C5B13******