Produktdokumentation
Citrix Cloud™
PDF anzeigen

Aktualisieren des SAML-Signaturzertifikats des Dienstanbieters

April 2, 2026
Author:  Mark Dear

SAML-Verbindungen, die signierte Anfragen und Antworten verwenden, hängen von zwei verschiedenen SAML-Signaturzertifikaten ab. Eines für jede Seite der SAML-Verbindung.

SAML-Signaturzertifikat des Dienstanbieters

Dieses Zertifikat wird von Citrix über die Citrix Cloud™ SAML-Metadaten bereitgestellt und während der Ankündigungsphase der SP-Signaturzertifikatsrotation aktualisiert. Dies geschieht mindestens einmal pro Kalenderjahr.

SAML-Signaturzertifikate müssen vor ihrem Ablaufdatum rotiert werden, um den Citrix Cloud-Administratoren Zeit für die Vorbereitung der Bereitstellung zu geben. Die Zertifikatsrotation ist sowohl für Dienstanbieter als auch für Identitätsanbieter erforderlich, um die Abstimmung sicherzustellen und Ausfallzeiten zu vermeiden.

Wenn ein ausgewählter SAML-Anbieter die automatische Rotation des SP-SAML-Signaturzertifikats nicht unterstützt, muss eine manuelle Rotation des SAML-Signaturzertifikats innerhalb Ihres SAML-Anbieters durchgeführt werden, um das ablaufende Zertifikat zu ersetzen.

Wichtig:

Alle bestehenden Anleitungen in diesem SAML-eDoc-Abschnitt enthalten Details zur Konfiguration der Signierung auf beiden Seiten der SAML-Verbindung. Citrix® empfiehlt nur signierte SAML-Konfigurationen, da diese sicherer sind und von einigen SAML-Anbietern für einen erfolgreichen Logout (SLO) erforderlich sind.

Häufig gestellte Fragen (FAQ)

Was ist SAML-Signierung?

Das SAML-Protokoll verwendet Nachrichten, um die Authentifizierung anzufordern und Identitätsnachweise zu senden. Die Sicherheit dieser Nachrichten hängt sowohl von der Transport- als auch von der Nachrichtenebenensicherheit ab. Die Nachrichten sind XML-Dokumente, die gemäß der XML-Signatursyntax signiert sind. Dies gewährleistet sowohl die Integrität der Nachricht als auch die Authentifizierung des Absenders, indem bewiesen wird, dass er den privaten Schlüssel besitzt. Das Vertrauensmodell wird beschrieben in: SAML Security and Privacy Considerations. Die öffentlichen Schlüssel, die zur Definition vertrauenswürdiger privater Schlüssel verwendet werden, können in jedem geeigneten Format verteilt werden. Citrix verwendet X.509-Zertifikate als geeignete Container zum Verteilen und Verwenden von Schlüsseln.

Was ist die Erzwingung signierter SAML-Anfragen?

Nur weil Citrix Cloud so konfiguriert ist, dass signierte Anfragen innerhalb der SAML-Verbindung gesendet werden, garantiert dies nicht, dass der SAML-Anbieter die Verwendung von Signaturen erzwingt und unsignierte eingehende SAML-Anfragen ablehnt. Die meisten SAML-IdPs bieten eine Option zur Erzwingung signierter Anfragen. Wenn eine unsignierte Anfrage zur Anmeldung beim SAML-Anbieter empfangen wird, schlägt die SAML-Anmeldung fehl. Einige SAML-IdPs wie Duo bieten diese Option nicht einmal an. Es liegt in der Verantwortung des SAML-IdP-Administrators, den Status der SAML-IdP-Konfiguration zu überprüfen. Der Citrix-Support kontrolliert nicht und hat keine Einsicht darüber, ob signierte Anfragen in Ihrer SAML-Anwendung erzwungen werden.

Wie oft rotiert Citrix sein SAML-Signaturzertifikat des Dienstanbieters?

Um eine ausreichende Überlappung zwischen dem aktiven Signaturzertifikat des Dienstanbieters und dem neu ausgestellten zu ermöglichen, rotiert Citrix das Signaturzertifikat des Dienstanbieters etwa alle 11 Monate. Dies soll sicherstellen, dass Citrix Cloud-Kunden 30 Tage vor der Aktivierung des neuen Zertifikats ein gültiges Zertifikat zur Verfügung steht.

Was ist die Ankündigungsphase des SAML-Signaturzertifikats des Dienstanbieters?

Während der Ankündigungsphase sind die aktuellen und ersetzenden SAML-Signaturzertifikate in den Citrix Cloud-Metadaten vorhanden. Nur das aktive Zertifikat kann bis zum Rotationsdatum und der Rotationszeit für die SAML-Anfragenüberprüfung verwendet werden. Dies ist das Datum und die Uhrzeit, die in den Citrix Cloud-E-Mails und Citrix Cloud-Konsolenbenachrichtigungen angegeben sind.

  • Wichtig:

  • Das Ablaufdatum des Signaturzertifikats ist nicht dasselbe wie das Aktivierungsdatum. Es ist das Aktivierungsdatum, auf das Citrix- und IdP-Administratoren achten müssen, NICHT das Ablaufdatum des Zertifikats. Das Citrix Cloud-Signaturzertifikat wird immer vor seinem Ablauf rotiert.

Sie können das Ankündigungs- und Aktivierungsdatum sowie die Uhrzeit über diesen Link überprüfen: Rotationsplan.

Datum und Uhrzeiten werden als Unix-Epoch-Zeitstempel für jedes Ereignis im Rotationsprozess des Signaturzertifikats des Dienstanbieters bereitgestellt.

SAML-Rotationsplan

Verwenden Sie den Epoch-Konverter, um Unix-Epoch-Zeitstempel in ein menschenlesbares Datums- und Uhrzeitformat umzuwandeln.

SAML-Unix-Zeitstempel

Warum hat Citrix beschlossen, ein selbstsigniertes Citrix Cloud SAML-Signaturzertifikat anstelle eines von einer öffentlichen Zertifizierungsstelle wie Digicert signierten Zertifikats zu verwenden?

Der Aussteller: in der neuesten Version des SAML-Signaturzertifikats, das Sie in Ihre SAML-Anwendungen hochladen sollten, ist jetzt “samlsigning.cloud.com, Citrix Systems Inc.” anstelle einer öffentlichen Zertifizierungsstelle wie Digicert. Die Verwendung selbstsignierter SP-Signaturzertifikate dient dazu, eine bekannte SAML-Schwachstelle bei extern ausgestellten Zertifikaten, die als “Silver SAML” bezeichnet wird, zu mindern.

Warum habe ich eine Benachrichtigung per E-Mail und in der Citrix Cloud-Konsole erhalten, die darauf hinweist, dass das aktuelle Citrix Cloud SAML-Signaturzertifikat bald abläuft und ersetzt werden muss?

SAML-Anbieter (IdP) benötigen ein gültiges und aktuelles Zertifikat, um die Signatur eingehender SAML-Anfragen von Dienstanbietern wie Workspace und der Citrix Cloud-Konsole zu überprüfen. Citrix Cloud-Kunden, die SAML für die Workspace- oder Citrix Cloud-Konsolenanmeldung verwenden, werden kontaktiert, um sie über eine bevorstehende Rotation des SAML-Signaturzertifikats zu informieren.

Citrix Cloud Konsolenbenachrichtigung

Citrix Cloud E-Mail-Benachrichtigung

Woher weiß ich, ob mein Citrix Cloud-Kunde von der Rotation des Citrix Cloud SAML-Signaturzertifikats betroffen ist oder nicht?

Dies betrifft Citrix Cloud-Kunden mit der folgenden SAML-Konfiguration.

-  Ihre SAML-Verbindung innerhalb von Citrix Cloud ist mit **Authentifizierungsanfragen signieren = Ja** konfiguriert.
-  Sie haben Ihren SAML-Anbieter wie Azure Active Directory, ADFS oder Okta so konfiguriert, dass unsignierte SAML-Anfragen abgelehnt werden (Erzwingung der Signatur).
-  Sie haben Single Logout (SLO) innerhalb Ihrer Citrix Cloud SAML-Verbindung und innerhalb Ihres SAML-Anbieters konfiguriert. SLO-Anfragen müssen als Teil der Best Practices für Sicherheit signiert werden.

Wie überprüfe ich die Signaturkonfiguration meiner Citrix Cloud SAML-Verbindung?

Navigieren Sie zu Identitäts- und Zugriffsverwaltung > SAML 2.0 > Anzeigen, um zu überprüfen, ob Sie Authentifizierungsanfragen signieren in Ihrer Citrix Cloud SAML-Verbindung aktiviert haben. Alle neuen SAML-Verbindungen in Citrix Cloud sind standardmäßig auf Identitätsanbieter-Signatur-Authentifizierungs-/Abmeldeanfragen = Ja für die Anmeldung (SSO) und die Abmeldung (SLO) eingestellt.

IDP Sign Authentication Request

-  ![IDP Sign Logout (SLO) Request](/en-us/citrix-cloud/media/idp-slo-req.png)

-  ### Wie überprüfe ich, ob die Signaturerzwingung in meiner SAML-App konfiguriert ist?

Dies hängt vom verwendeten SAML-Anbieter ab. Alle von Citrix dokumentierten SAML-Lösungen enthalten Schritte zur Aktivierung der Signaturerzwingung als Teil der bewährten Sicherheitspraktiken.

Beispiel für EntraID-Signaturerzwingung:

Saml entraid example signing enforcement

Beispiel für Okta-Signaturerzwingung:

Saml okta example signing enforcement

Wo erhalte ich eine Kopie des neuesten Service Provider (SP)-Signaturzertifikats?

Dieses Zertifikat wird von Citrix über die Citrix Cloud SAML-Metadaten bereitgestellt und während der Ankündigungsphase der SP-Signaturzertifikatsrotation regelmäßig aktualisiert. Dies geschieht mindestens einmal pro Kalenderjahr.

USA, EU und APS: https://saml.cloud.com/saml/metadata

JP: https://saml.citrixcloud.jp/saml/

GOV: https://saml.cloud.us/saml/metadata

Wann kann ich das alte Citrix Cloud SAML-Signaturzertifikat sicher entfernen, wenn meine SAML-App mehrere Verifizierungszertifikate unterstützt?

Entfernen Sie das alte Citrix Cloud-Signaturzertifikat erst nach dem in der E-Mail und der Citrix Cloud-Konsolenbenachrichtigung angegebenen Aktivierungsdatum und der Aktivierungszeit aus Ihren SAML-Anwendungen. Einige SAML-IdPs wie Okta erlauben nur das Hochladen eines Signaturzertifikats gleichzeitig. In dieser Situation bleibt keine andere Wahl, als das aktuelle Zertifikat nach dem Aktivierungsdatum und der Aktivierungszeit mit dem neuen zu überschreiben. Dies sollte nicht vor dem Aktivierungsdatum und der Aktivierungszeit erfolgen.

Verwenden Sie den Metadatenaustausch, um den SAML-Anbieter automatisch mit dem neuesten Citrix Cloud SP SAML-Signaturzertifikat zu aktualisieren

Mithilfe des SAML-Metadatenaustauschs konsumiert der SAML-Anbieter die Citrix Cloud SAML-Metadaten automatisch, indem er die Metadaten-URL, wie z. B. https://saml.cloud.com/saml/metadata, überwacht. Wenn Ihr SAML-Anbieter den SAML-Metadatenaustausch unterstützt, wurde das SP-Signaturzertifikat möglicherweise bereits automatisch aktualisiert. Vergewissern Sie sich, dass Ihr SAML-Anbieter den Metadatenaustausch unterstützt. Danach können Sie überprüfen, ob die Aktualisierung erfolgt ist, bevor das aktuelle SAML-Signaturzertifikat abläuft.

Citrix Cloud SP SAML Signing Certificate

Wichtig

Es gibt große Unterschiede hinsichtlich der SAML-Funktionen, die jeder Drittanbieter-SAML-Anbieter unterstützt. Es liegt in der Verantwortung des Citrix Cloud-Administrators, die Funktionen und Anforderungen des von Ihnen verwendeten SAML-Anbieters zu kennen und zu verstehen. Dies ist notwendig, um sicherzustellen, dass sowohl die Citrix Cloud SAML-Verbindungskonfiguration (SP) als auch die SAML-Anbieterkonfiguration (IdP) übereinstimmen. Schlagen Sie in der Dokumentation Ihres SAML-Anbieters nach, um festzustellen, ob dieser die Signaturprüfung unterstützt und ob SAML-Anfragen und -Antworten signiert werden müssen.

Aktualisieren Sie den SAML-Anbieter manuell mit dem neuesten Citrix Cloud SP SAML-Signaturzertifikat

Wichtig

Die SP-Zertifikatsrotation muss jedes Mal durchgeführt werden, wenn ein neues Zertifikat von Citrix Cloud veröffentlicht wird, da sonst die SAML-Anmeldung beeinträchtigt wird und es zu Ausfallzeiten kommt.

Beschaffen Sie eine Kopie des zukünftigen Service Provider-Zertifikats aus den Citrix Cloud-Metadaten

  1. Rufen Sie die neuesten SAML-Metadaten von Citrix Cloud ab, indem Sie Ihre aktuelle SAML-Verbindung unter Identitäts- und Zugriffsverwaltung anzeigen, auf Authentifizierung klicken, SAML-Verbindung auswählen und auf Anzeigen klicken. Die folgende Abbildung ist ein Beispiel dafür, wie diese Datei für Citrix Cloud-Regionen wie USA, EU und APS aussehen könnte:

    https://saml.cloud.com/saml/metadata

    Metadata XML file example

    In diesem Beispiel der Metadaten-XML-Datei gibt es zwei x.509 Citrix Cloud SAML-Signaturzertifikate.

  2. Es ist möglich, das x.509-Zertifikat aus den Metadaten zu extrahieren, indem die XML-Datei in ein Drittanbieter-Tool hochgeladen oder die Metadaten-URL bereitgestellt wird.
  3. Navigieren Sie zu https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract

  4. Geben Sie die SAML-Metadaten-URL ein, die Ihrer Citrix Cloud-Kundenregion entspricht:

    Metadata Certificate Extract

    Laden Sie das SAML-Signaturzertifikat von https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract herunter.

    Metadaten-Zertifikatsextrakt

  5. Laden Sie das neu extrahierte Citrix Cloud SP SAML-Zertifikat bei Ihrem SAML-Anbieter hoch. Dieser Vorgang unterscheidet sich je nach SAML-Anbieter. Überprüfen Sie das korrekte Verfahren zur Rotation des SP-Signaturzertifikats anhand der Dokumentation Ihres spezifischen SAML-Anbieters.

    Je nach SAML-Anbieter muss das vorhandene SAML-Signaturzertifikat möglicherweise durch das neue ersetzt werden. In einigen Fällen unterstützt der SAML-Anbieter möglicherweise mehrere SP-Signaturzertifikate gleichzeitig, sodass das Hochladen des neuen Zertifikats ausreicht. Es wird empfohlen, das alte Zertifikat zu entfernen, sobald es abgelaufen ist.

ODER,

Eine Kopie des zukünftigen Service Provider-Zertifikats aus der Citrix Cloud UI abrufen

  1. Im Assistenten zum Konfigurieren von SAML 2.0 für neue manuell erstellte Verbindungen.

  2. Navigieren Sie im Assistentenfluss zur Seite Identitätsanbieter.

  3. Wählen Sie Ich kann die Metadaten-URL nicht verwenden. Welche anderen Optionen gibt es?

    Metadaten können nicht verwendet werden

  4. Wählen Sie Metadatenfelder manuell eingeben und navigieren Sie zum Abschnitt Service Provider-Zertifikate.

  5. Laden Sie die zukünftige Version des Citrix Cloud-Signaturzertifikats herunter.

    SP-Zertifikat herunterladen

Ein Ersatz-SAML-Signaturzertifikat für Citrix Cloud in Ihre Azure Active Directory SAML-Anwendung hochladen

Bevor Sie die Azure Active Directory SAML-App konfigurieren, lesen Sie SAML-Anforderungssignaturüberprüfung für weitere Informationen.

  1. Navigieren Sie zu Azure Active Directory, wählen Sie Unternehmensanwendungen und klicken Sie auf Ihre SAML-App.

  2. Suchen Sie den Abschnitt „SAML-Zertifikate“ innerhalb der SAML-Anwendung.

    SAML SSO Produktion

  3. Wählen Sie Zertifikat hochladen und laden Sie das Ersatz-SAML-Signaturzertifikat für Citrix Cloud hoch, das aus den SAML-Metadaten abgerufen wurde.

    Verifizierungszertifikate

Hinweis:

Azure Active Directory SAML-Apps können mit mehreren Signaturüberprüfungszertifikaten konfiguriert werden, sodass es möglich ist, ein Ersatzzertifikat lange vor Ablauf des aktuellen Zertifikats hochzuladen. Der folgende Screenshot zeigt zwei gültige Zertifikate. Eines der Zertifikate läuft in naher Zukunft ab. Solange mindestens eines der hochgeladenen Zertifikate gültig und noch nicht abgelaufen ist, wird eine SAML-Anmeldung bei Citrix Workspace™ und Citrix Cloud weiterhin erfolgreich sein, und Sie werden keinen Ausfall erleben.

Verifizierungszertifikat

Wichtig:

Entfernen Sie das vorhandene Verifizierungszertifikat erst, nachdem das in der E-Mail und der Citrix Cloud-Konsolenbenachrichtigung angegebene Datum und die Uhrzeit der SAML-Rotation verstrichen sind. Das neue Citrix Cloud-Zertifikat wird erst zu dem in diesen beiden Benachrichtigungen angegebenen Datum und der Uhrzeit aktiv.

Ein Ersatz-SAML-Signaturzertifikat für Citrix Cloud in Ihre Okta SAML-Anwendung hochladen

Okta unterstützt nicht mehrere SP SAML-Signaturzertifikate gleichzeitig. Sie müssen das vorhandene Citrix Cloud SP-Signaturzertifikat, das Sie derzeit verwenden, mit dem neuen überschreiben. Es wird empfohlen, dies in einem geplanten Wartungsfenster zu tun.

  1. Navigieren Sie zu Anwendungen, wählen Sie Anwendungen und suchen Sie nach Ihrer Okta SAML-App.

    Okta SAML-Anwendung suchen

  2. Navigieren Sie von Allgemein zu SAML-Einstellungen, klicken Sie auf Bearbeiten, wählen Sie SAML konfigurieren, wählen Sie Erweiterte Einstellungen anzeigen und klicken Sie auf Signaturzertifikat, um einen Ersatz hochzuladen. Okta zeigt das aktuelle Citrix Cloud SAML-Signaturzertifikat nicht in der Upload-Benutzeroberfläche an. Es wird das Ersatzzertifikat erst nach dem Hochladen anzeigen.

    Signaturzertifikat

  3. Wählen Sie Signaturzertifikat, klicken Sie auf Dateien durchsuchen und laden Sie das Ersatz-SAML-Signaturzertifikat für Citrix Cloud hoch, das aus den Citrix Cloud SAML-Metadaten abgerufen wurde.

    Signaturzertifikat

Wichtig

Überschreiben Sie das vorhandene Verifizierungszertifikat erst, wenn das in der E-Mail und der Citrix Cloud-Konsolenbenachrichtigung angegebene Datum und die Uhrzeit der SAML-Rotation erreicht sind. Das neue Citrix Cloud-Zertifikat wird erst zu dem in diesen beiden Benachrichtigungen angegebenen Datum und der Uhrzeit aktiv.

Aktualisieren des SAML-Signaturzertifikats des Dienstanbieters
April 2, 2026
Author:  Mark Dear
April 2, 2026
Author:  Mark Dear

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.