私钥证书

配置 SAML 2.0 身份验证时，有必要为身份提供程序提供的证书指定某些声明。这是有关如何配置 Orchestrator 实例以使用私钥 SAML 证书的分步过程。该过程首先使用 Microsoft 管理控制台将证书导入 Windows 本地计算机证书存储，然后继续执行 Orchestrator/Identity Server 中所需的实际配置步骤。

在 Windows 中导入证书

转到“控制面板”>“管理计算机证书”。系统将显示控制台。
在“控制台根目录”窗口的左窗格中，展开“受信任的根证书颁发机构”文件夹，然后单击“证书”。
右键单击“证书”，然后选择“所有任务”>“导入”。系统将显示“证书导入向导”窗口。
确保在“存储位置”部分中选择了“本地计算机”。单击“下一步”。
单击“浏览”，然后选择要上传的证书。
对控制台根目录/个人文件夹重复此过程。

设置 Orchestrator/Identity Server 以使用证书

上传完成后，证书应显示在控制台中。
双击该证书。系统将显示“证书”对话框。
在“详细信息”选项卡上，滚动浏览字段列表，然后单击“指纹”。
复制框中的十六进制字符。
删除字符之间的空格。例如，应在“外部提供程序”页面上的 Identity Server 的“Saml2”设置中，将指纹“a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b”指定为“a909502dd82ae41433e6f83886b00d4277a32a7b”。

注意：从“证书”窗口的框中复制时，指纹包含几个特殊字符，这些字符仅在 ANSI 编码中可见。请务必使用 Notepad++ 等合适的应用程序删除这些特殊字符。

请参见下面的示例，该示例说明了如何为“外部提供程序”页面中的 Identity Server 的“Saml2”设置准备指纹。
以系统管理员身份登录到主机管理门户。
在“ 用户 ” 页面上，选择“ 身份验证设置” 选项卡。
在“ 外部提供程序 ”部分中，单击“ SAML 2.0”下的“配置”：

“配置 SAML 2.0”面板将在窗口右侧打开。
在“ 签名证书 ”部分下，设置以下内容：
- 商店名称 - 选择 My
- 存储位置 - 选择 LocalMachine
- 指纹 - 输入您先前准备的指纹值。
单击底部的“ 保存 ” 以保存更改并关闭面板。
重新启动 IIS 服务器。对外部提供程序进行任何更改后，这是必需的。