私钥证书

配置 SAML 2.0 身份验证时，有必要为身份提供程序提供的证书指定某些声明。这是有关如何配置 Orchestrator 实例以使用私钥 SAML 证书的分步过程。该过程首先使用 Microsoft 管理控制台将证书导入 Windows 本地计算机证书存储，然后继续执行 Orchestrator/Identity Server 中所需的实际配置步骤。

在 Windows 中导入证书

转到“控制面板”>“管理计算机证书”。系统将显示控制台。
在“控制台根目录”窗口的左窗格中，展开“受信任的根证书颁发机构”文件夹，然后单击“证书”。
右键单击“证书”，然后选择“所有任务”>“导入”。系统将显示“证书导入向导”窗口。
确保在“存储位置”部分中选择了“本地计算机”。单击“下一步”。
单击“浏览”，然后选择要上传的证书。
对控制台根目录/个人文件夹重复此过程。

设置 Orchestrator/Identity Server 以使用证书

上传完成后，证书应显示在控制台中。
双击该证书。系统将显示“证书”对话框。
在“详细信息”选项卡上，滚动浏览字段列表，然后单击“指纹”。
复制框中的十六进制字符。
删除字符之间的空格。例如，应在“外部提供程序”页面上的 Identity Server 的“Saml2”设置中，将指纹“a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b”指定为“a909502dd82ae41433e6f83886b00d4277a32a7b”。

注意：从“证书”窗口的框中复制时，指纹包含几个特殊字符，这些字符仅在 ANSI 编码中可见。请务必使用 Notepad++ 等合适的应用程序删除这些特殊字符。

请参见下面的示例，该示例说明了如何为“外部提供程序”页面中的 Identity Server 的“Saml2”设置准备指纹。
在“外部提供程序”页面中的 Identity Server 的“Saml2”设置中，找到“签名证书”部分，并为属性设置以下值，如下例所示：
- 存储名称 - 从下拉框中选择 My
- 存储位置 - 选择 LocalMachine
- 指纹 - 输入您先前准备的指纹值。
  
  在此处阅读如何访问 Identity Server。
单击“保存”将更改保存到外部身份提供程序设置。
在 Identity Server 中执行任何配置更改后，请重新启动 IIS 服务器。