Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Abrufen des Fingerabdrucks eines OpenID-Connect-Identitätsanbieters Wenn Sie einen [OpenID Connect (OIDC)-Identitätsanbieter in IAM erstellen](id_roles_providers_create_oidc.md), benötigt IAM den Fingerabdruck für die führende Zwischenzertifizierungsstelle (CA), die das vom externen Identitätsanbieter (IdP) verwendete Zertifikat signiert hat. Bei dem Thumbprint handelt es sich um eine Signatur für das CA-Zertifikat, das für die Ausstellung des Zertifikats für den OIDC-kompatiblen Identitätsanbieter verwendet wurde. Wenn Sie einen IAM-OIDC-Identitätsanbieter erstellen, vertrauen Sie darauf, dass Identitäten, die von diesem IdP authentifiziert wurden, Zugriff auf Ihren haben. AWS-Konto Durch die Verwendung des Zertifikat-Fingerabdrucks der Zertifizierungsstelle vertrauen Sie jedem von dieser Zertifizierungsstelle ausgestellten Zertifikat mit demselben DNS-Namen wie dem registrierten Zertifikat. Dadurch müssen die Vertrauensstellungen in den einzelnen Konten nicht aktualisiert werden, wenn Sie das Signaturzertifikat des Identitätsanbieters erneuern. **Wichtig** In den meisten Fällen verwendet der Verbundserver zwei verschiedene Zertifikate: Die erste stellt eine HTTPS-Verbindung zwischen AWS und Ihrem IdP her. Dies sollte von einer bekannten öffentlichen Root-Zertifizierungsstelle ausgestellt werden, wie etwa von AWS Certificate Manager. Dadurch kann der Kunde die Zuverlässigkeit und den Status des Zertifikats überprüfen. Die zweite wird zum Verschlüsseln von Token verwendet und sollte von einer privaten oder öffentlichen *Stamm*-Zertifizierungsstelle signiert werden. Sie können einen IAM-OIDC-Identitätsanbieter mit [der AWS Command Line Interface, den Tools für Windows PowerShell oder der](id_roles_providers_create_oidc.md#manage-oidc-provider-cli) IAM-API erstellen. Wenn Sie diese Methoden verwenden, haben Sie die Möglichkeit, manuell einen Fingerabdruck bereitzustellen. Wenn Sie keinen Fingerabdruck hinzufügen möchten, ruft IAM den Fingerabdruck der führenden Zwischen-CA des OIDC-IdP-Serverzertifikats ab. Wenn Sie einen Fingerabdruck hinzufügen möchten, müssen Sie den Fingerabdruck manuell abrufen und an AWS​​übermitteln. Wenn Sie mit der [IAM-Konsole](id_roles_providers_create_oidc.md) einen OIDC-Identitätsanbieter erstellen, versucht IAM, den Fingerabdruck der führenden Zwischen-CA des OIDC-IdP-Serverzertifikats für Sie abzurufen. Wir empfehlen, dass Sie auch den Fingerabdruck für Ihren OIDC-IdP manuell abrufen und überprüfen, ob IAM den richtigen Fingerabdruck abgerufen hat. Weitere Informationen zum Abrufen von Zertifikatfingerabdrücken finden Sie in den folgenden Abschnitten. **Anmerkung** AWS sichert die Kommunikation mit OIDC-Identitätsanbietern (IdPs) mithilfe unserer Bibliothek vertrauenswürdiger Stammzertifizierungsstellen (), um das TLS-Zertifikat des JSON Web Key Set (JWKSCAs) -Endpunkts zu verifizieren. Wenn Ihr OIDC-IdP auf ein Zertifikat angewiesen ist, das nicht von einem dieser vertrauenswürdigen Unternehmen signiert ist CAs, sichern wir nur dann die Kommunikation mit den in der IdP-Konfiguration festgelegten Fingerabdrücken. AWS greift auf die Überprüfung von Fingerabdrücken zurück, wenn wir das TLS-Zertifikat nicht abrufen können oder wenn TLS v1.3 erforderlich ist. ## Abrufen des Zertifikatfingerabdrucks Sie verwenden einen Webbrowser und das OpenSSL-Befehlszeilen-Tool, um den Zertifikatfingerabdruck für einen OIDC-Anbieter abzurufen. Sie müssen den Zertifikatfingerabdruck jedoch nicht manuell abrufen, um einen IAM-OIDC-Identitätsanbieter zu erstellen. Mit dem folgenden Verfahren können Sie den Zertifikatfingerabdruck Ihres OIDC-Anbieters abrufen. **So rufen Sie den Thumbprint eines IAM-OIDC-Identitätsanbieters ab** 1. Bevor Sie den Thumbprint eines IAM-OIDC-Identitätsanbieters abrufen können, müssen Sie sich das OpenSSL-Befehlszeilen-Tool herunterladen. Mit diesem Tool laden Sie dann die Zertifikatskette des OIDC-Identitätsanbieters herunter und erstellen einen Thumbprint des letzten Zertifikats in der Zertifikatskette. Eine Anleitung zum Installieren und Konfigurieren von OpenSSL finden Sie unter [Installieren von OpenSSL](#oidc-install-openssl) und [Konfigurieren von OpenSSL](#oidc-configure-openssl). 1. Beginnen Sie mit der URL des OIDC-Identitätsanbieters (z. B. `https://server.example.com`) und fügen Sie `/.well-known/openid-configuration` hinzu, um die URL für das Konfigurationsdokument des Identitätsanbieters wie folgt zu bilden: **https://*server.example.com*/.well-known/openid-configuration** Öffnen Sie diese URL in einem Webbrowser und *server.example.com* ersetzen Sie sie durch Ihren IdP-Servernamen. 1. Verwenden Sie im angezeigten Dokument die **Such**-Feature Ihres Webbrowsers, um den Text `"jwks_uri"` zu finden. Direkt hinter dem Text `"jwks_uri"` finden Sie einen Doppelpunkt (:) gefolgt von einer URL. Kopieren Sie den vollständig qualifizierten Domainnamen der URL. Kopieren Sie weder `https://` noch Teile des Pfads hinter der Top-Level-Domain. ``` { "issuer": "https://accounts.example.com", "authorization_endpoint": "https://accounts.example.com/o/oauth2/v2/auth", "device_authorization_endpoint": "https://oauth2.exampleapis.com/device/code", "token_endpoint": "https://oauth2.exampleapis.com/token", "userinfo_endpoint": "https://openidconnect.exampleapis.com/v1/userinfo", "revocation_endpoint": "https://oauth2.exampleapis.com/revoke", "jwks_uri": "https://www.exampleapis.com/oauth2/v3/certs", ... ``` 1. Führen Sie mithilfe des OpenSSL-Befehlszeilen-Tools den folgenden Befehl. *keys.example.com*Ersetzen Sie es durch den Domainnamen, den Sie erhalten haben. [Step 3](#thumbstep2) ``` openssl s_client -servername keys.example.com -showcerts -connect keys.example.com:443 ``` 1. Scrollen Sie im Befehlszeilenfenster nach unten, bis Sie ein Zertifikat ähnlich wie im folgenden Beispiel finden. Wenn mehrere Zertifikate angezeigt werden, suchen Sie nach dem letzten angezeigten Zertifikat (am Ende der Befehlsausgabe). Dies enthält das Zertifikat der Zertifizierungsstelle in der Kette der Zertifizierungsstellen. ``` -----BEGIN CERTIFICATE----- MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE= -----END CERTIFICATE----- ``` Kopieren Sie das Zertifikat (einschließlich der Zeilen `-----BEGIN CERTIFICATE-----` und `-----END CERTIFICATE-----`) und fügen es in einer Textdatei ein. Speichern Sie die Datei mit dem Dateinamen **certificate.crt**. **Anmerkung** Die Zertifikatskette des OIDC-Identitätsanbieters muss mit der Domain oder Aussteller-URL beginnen, alle Zwischenzertifikate (sofern vorhanden) enthalten und mit dem Stammzertifikat enden. Wenn die Reihenfolge der Zertifikatkette abweicht oder doppelte bzw. zusätzliche Zertifikate enthält, erhalten Sie eine Fehlermeldung wegen einer Signatur-Nichtübereinstimmung und STS kann das JSON Web Token (JWT) nicht validieren. Korrigieren Sie die Reihenfolge der Zertifikate in der vom Server zurückgegebenen Kette, um den Fehler zu beheben. Weitere Informationen zu Zertifikatskettenstandards finden Sie unter [certificate\$1list in RFC 5246](https://www.rfc-editor.org/rfc/rfc5246#section-7.4.2) auf der Website der RFC-Serie. 1. Führen Sie mithilfe des OpenSSL-Befehlszeilen-Tools den folgenden Befehl. ``` openssl x509 -in certificate.crt -fingerprint -sha1 -noout ``` Im Befehlsfenster wird der Thumbprint des Zertifikats ähnlich wie im folgenden Beispiel angezeigt: ``` SHA1 Fingerprint=99:0F:41:93:97:2F:2B:EC:F1:2D:DE:DA:52:37:F9:C9:52:F2:0D:9E ``` Entfernen Sie den Doppelpunkt (:) aus dieser Zeichenfolge, um den endgültigen Thumbprint wie folgt zu erhalten: ``` 990F4193972F2BECF12DDEDA5237F9C952F20D9E ``` 1. Wenn Sie den IAM-OIDC-Identitätsanbieter mit den Tools für Windows oder der AWS CLI IAM-API erstellen PowerShell, ist die Angabe eines Fingerabdrucks optional. Wenn Sie bei der Erstellung keinen Fingerabdruck hinzufügen möchten, ruft IAM den Fingerabdruck der führenden Zwischenzertifizierungsstelle des OIDC-IdP-Serverzertifikats ab. Nachdem der IAM-OIDC-Identitätsanbieter erstellt wurde, können Sie diesen Fingerabdruck mit dem von IAM abgerufenen Fingerabdruck vergleichen. Wenn Sie den IAM-OIDC-Identitätsanbieter in der IAM-Konsole erstellen, versucht die Konsole, den Fingerabdruck der führenden Zwischenzertifizierungsstelle des OIDC-IdP-Serverzertifikats für Sie abzurufen. Sie können diesen Fingerabdruck mit dem von IAM abgerufenen Fingerabdruck vergleichen. Nachdem der IAM-OIDC-Identitätsanbieter erstellt wurde, können Sie den Fingerabdruck für den IAM-OIDC-Identitätsanbieter auf der Registerkarte **Endpunktüberprüfung** auf der Konsolenseite **Zusammenfassung** des OIDC-Anbieters“ anzeigen. **Wichtig** Wenn der abgerufene Fingerabdruck nicht mit dem in den Fingerabdruckdetails des IAM-OIDC-Identitätsanbieters angezeigten Fingerabdruck übereinstimmt, sollten Sie den OIDC-Anbieter nicht verwenden. Stattdessen sollten Sie den erstellten OIDC-Anbieter löschen und nach einiger Zeit erneut versuchen, den OIDC-Anbieter zu erstellen. Überprüfen Sie, ob die Fingerabdrücke übereinstimmen, bevor Sie den Anbieter verwenden. Wenn die Thumbprints auch beim zweiten Versuch nicht übereinstimmen, kontaktieren Sie über das [IAM-Forum](https://forums.aws.amazon.com/forum.jspa?forumID=76) AWS. ## Installieren von OpenSSL Falls OpenSSL noch nicht installiert ist, befolgen Sie die Anleitungen in diesem Abschnitt. **So installieren Sie OpenSSL unter Linux und Unix** 1. Wechseln Sie zu [OpenSSL: Source, Tarballs](https://openssl.org/source/)(https://openssl.org/source/). 1. Laden Sie die aktuelle Quelldatei herunter und erstellen Sie das Paket. **So installieren Sie OpenSSL unter Windows** 1. Gehen Sie zu [OpenSSL: Binary Distributions (https://wiki.openssl](https://wiki.openssl.org/index.php/Binaries)). org/index.php/Binaries) für eine Liste von Websites, von denen aus Sie die Windows-Version installieren können. 1. Folgen Sie den Anweisungen auf der ausgewählten Site, um die Installation zu starten. 1. Wenn Sie aufgefordert werden, die **Microsoft Visual C\$1\$1 2008 Redistributables** zu installieren, und diese nicht bereits auf Ihrem System installiert sind, wählen Sie den für Ihre Umgebung geeigneten Download-Link. Folgen Sie den Anweisungen des **Microsoft Visual C\$1\$1 2008 Redistributable Setup Wizard**. **Anmerkung** Wenn Sie nicht sicher sind, ob Microsoft Visual C\$1\$1 2008 Redistributables bereits auf Ihrem System installiert ist, können Sie zunächst versuchen, OpenSSL zu installieren. Das OpenSSL Installationsprogramm zeigt eine Warnung an, wenn Microsoft Visual C\$1\$1 2008 Redistributables noch nicht installiert ist. Installieren Sie die Architektur (32-Bit oder 64-Bit), die der installierten Version von OpenSSL entspricht. 1. Wählen Sie nach der Installation von Microsoft Visual C\$1\$1 2008 Redistributables die entsprechende Version der OpenSSL-Binärdateien für Ihre Umgebung aus und speichern Sie die Datei lokal. Starten Sie den **OpenSSL-Setup-Assistenten**. 1. Folgen Sie den Anweisungen des **OpenSSL-Setup-Assistenten**. ## Konfigurieren von OpenSSL Bevor Sie OpenSSL Befehle verwenden, müssen Sie das Betriebssystem so konfigurieren, dass es Informationen über den Speicherort enthält, an dem OpenSSL installiert ist. **So konfigurieren Sie OpenSSL unter Linux oder Unix** 1. Setzen Sie in der Befehlszeile die Variable `OpenSSL_HOME` auf den Speicherort der OpenSSL-Installation: ``` $ export OpenSSL_HOME=path_to_your_OpenSSL_installation ``` 1. Legen Sie den Pfad für die OpenSSL Installation fest: ``` $ export PATH=$PATH:$OpenSSL_HOME/bin ``` **Anmerkung** Alle Änderungen, die Sie mit dem Befehl `export` an Umgebungsvariablen vornehmen, sind nur für die aktuelle Sitzung gültig. Sie können dauerhafte Änderungen an den Umgebungsvariablen vornehmen, indem Sie diese in Ihrer Shell-Konfigurationsdatei festlegen. Weitere Informationen finden Sie in der Dokumentation für das Betriebssystem Ihrer Instance. **So konfigurieren Sie OpenSSL unter Windows** 1. Öffnen Sie ein **Befehlszeilenfenster**. 1. Setzen Sie die `OpenSSL_HOME`-Variable auf den Ort der OpenSSL-Installation: ``` C:\> set OpenSSL_HOME=path_to_your_OpenSSL_installation ``` 1. Setzen Sie die `OpenSSL_CONF`-Variable auf den Speicherort der Konfigurationsdatei in Ihrer OpenSSL-Installation: ``` C:\> set OpenSSL_CONF=path_to_your_OpenSSL_installation\bin\openssl.cfg ``` 1. Legen Sie den Pfad für die OpenSSL Installation fest: ``` C:\> set Path=%Path%;%OpenSSL_HOME%\bin ``` **Anmerkung** Alle Änderungen, die Sie in einem Eingabeaufforderungsfenster an Windows-Umgebungsvariablen vornehmen, sind nur für die aktuelle **Befehlszeilensitzung** gültig. Sie können dauerhafte Änderungen an den Umgebungsvariablen vornehmen, indem Sie sie als Systemeigenschaften festlegen. Die genauen Verfahren hängen davon ab, welche Version von Windows Sie verwenden. (Öffnen Sie beispielsweise unter Windows 7 **Systemsteuerung**, **System und Sicherheit**, **System (System)**aus. Wählen Sie dann **Erweiterte Systemeinstellungen**, **Advanced**Registerkarte **Umgebungsvariablen**.) Weitere Informationen finden Sie in der Windows-Dokumentation.