OpenSSL による安全な SSO の OIDC IdP 指紋抽出 - Resource Access Management

本トピックでは、OpenID Connect (OIDC) ID プロバイダー (IdP) の SSL/TLS 証明書指紋を OpenSSL を使用して取得する方法について説明します。

前提条件

お使いのオペレーティングシステムに OpenSSL コマンドラインツールがインストールされていることを確認してください。本トピックでは、Windows 10 オペレーティングシステムを例として説明します。

OpenSSL をインストールします。
1. Win32/Win64 OpenSSL からインストールパッケージをダウンロードします。
2. インストールパッケージを実行します。
  デフォルトのインストールパス（C:\Program Files\OpenSSL-Win64）の使用を推奨します。
環境変数を手動で設定します。
デスクトップ上で PC を右クリックし、プロパティ > 詳細なシステム設定 > 環境変数 > システム環境変数 を選択し、OpenSSL の bin ディレクトリのパス（例： C:\Program Files\OpenSSL-Win64\bin）を Path 環境変数に追加します。
インストールを確認します。
コマンドプロンプトまたは PowerShell で、次のコマンドを実行します：
```
openssl version  
```
- 出力が以下の例と類似している場合、OpenSSL は正常にインストールされています。
```
OpenSSL 3.4.1 11 Feb 2025 
```
- 「コマンドが見つかりません」または「認識されていません」というエラーが表示された場合は、Path 環境変数に x:\xxx\OpenSSL-Win64\bin ディレクトリが含まれているか確認してください。

操作手順

本操作手順では、ドメイン名の例として https://oauth.aliyun.com を使用します。各ステップに従う際には、これをご利用の ID プロバイダーのドメイン名に置き換えてください。

ステップ 1：完全修飾ドメイン名の取得

ID プロバイダーのベース URL に /.well-known/openid-configuration を付加して、OIDC ID プロバイダーの構成ドキュメントの URL を作成します。たとえば、https://oauth.aliyun.com の場合、構成ドキュメントの URL は以下のとおりです：
```
https://oauth.aliyun.com/.well-known/openid-configuration
```

Web ブラウザーで上記 URL を開き、JSON 形式の構成ドキュメントを表示します。ドキュメント内で jwks_uri フィールドを検索し、その値から完全修飾ドメイン名を抽出します。完全修飾ドメイン名にはプロトコル（https://）やその後続のパスは含めません。本例では、完全修飾ドメイン名は oauth.aliyun.com です。

ID プロバイダー構成ドキュメント

{
    "authorization_endpoint": "https://signin.aliyun.com/oauth2/v1/auth",
    "code_challenge_methods_supported": [
        "plain",
        "S256"
    ],
    "id_token_signing_alg_values_supported": [
        "RS256"
    ],
    "issuer": "https://oauth.aliyun.com",
    // 完全修飾ドメイン名：oauth.aliyun.com
    "jwks_uri": "https://oauth.aliyun.com/v1/keys",
    "requestid": "f7d3899f-5677-4634-a7dd-832818bb062a",
    "response_types_supported": [
        "code"
    ],
    "revocation_endpoint": "https://oauth.aliyun.com/v1/revoke",
    "scopes_supported": [
        "openid",
        "aliuid",
        "profile"
    ],
    "subject_types_supported": [
        "public"
    ],
    "token_endpoint": "https://oauth.aliyun.com/v1/token",
    "userinfo_endpoint": "https://oauth.aliyun.com/v1/userinfo"
}

ステップ 2：証明書の取得

ターミナルを開き、次のコマンドを実行します。oauth.aliyun.com は、ステップ 1 で取得した完全修飾ドメイン名に置き換えてください。
```
openssl s_client -servername oauth.aliyun.com -showcerts -connect oauth.aliyun.com:443
```
コマンド出力内から、-----BEGIN CERTIFICATE----- および -----END CERTIFICATE----- のマーカーで囲まれた証明書ブロックを特定します。出力に複数の証明書が含まれる場合は、最後の証明書を使用してください。
説明
標準の PEM 形式証明書には、以下の境界マーカーが必須です：
- 開始マーカー：-----BEGIN CERTIFICATE-----
- 終了マーカー：-----END CERTIFICATE-----
```
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv
···
-----END CERTIFICATE-----
```
開始および終了マーカーを含む証明書全体をコピーし、新しいテキストファイルに貼り付けます。ファイルを .crt 拡張子で保存します（例：ファイル名を certificate.crt とする）。
（任意）ファイルの有効性を確認します。
ターミナルで次のコマンドを実行します。コマンドがエラーなく実行された場合、ファイル形式は有効です。
```
openssl x509 -in certificate.crt -text -noout
```

ステップ 3：指紋の取得

ターミナルまたはコマンドプロンプトで、次のコマンドを実行します：
```
openssl x509 -in certificate.crt -fingerprint -sha1 -noout
```
コマンドの出力には証明書の指紋が表示されます。
```
SHA1 Fingerprint=90:2E:F2:DE:EB:3C:5B:13******
```
出力からすべてのコロン（:）を削除して、指紋を取得します。
```
902EF2DEEB3C5B13******
```