Actualizar el certificado de firma SAML del proveedor de identidades
Las conexiones SAML que usan solicitudes y respuestas firmadas dependen de dos certificados de firma SAML diferentes. Uno para cada lado de la conexión SAML. El proceso de rotación del certificado IdP no debe confundirse con la rotación anual del proveedor de servicios del certificado samlsigning.cloud.com utilizado por todos los clientes de Citrix Cloud. Citrix no controla la rotación del certificado IdP de tu aplicación SAML. Tu administrador de Citrix Cloud y del IdP sí lo hace.
Preguntas frecuentes
¿Para qué se usa el certificado de firma de la aplicación SAML?
El certificado de firma de tu aplicación SAML se carga en Citrix Cloud cuando creas inicialmente la conexión SAML. Durante el proceso inicial de creación de la conexión SAML, solo es necesario proporcionar un certificado de firma IdP. El certificado IdP se obtiene de tu proveedor SAML, como Azure AD, Okta, PingFederate o ADFS. Citrix Cloud usa el certificado de firma IdP para verificar la firma de las respuestas SAML enviadas desde tu aplicación SAML a Citrix Cloud durante el proceso de autenticación SAML. Citrix Cloud confiará en el certificado IdP hasta su fecha de caducidad.
¿Qué es una rotación del certificado de firma de la aplicación SAML?
Una rotación del certificado de firma IdP es una tarea de mantenimiento planificada que se requiere cuando el certificado de firma de tu aplicación SAML se acerca a su fecha de caducidad. Los administradores deben prestar atención al certificado de firma IdP utilizado por las conexiones SAML dentro de Citrix Cloud. Cuando el certificado esté a punto de caducar en un plazo de 30 días, carga un certificado de reemplazo válido en tu conexión SAML de Citrix Cloud. Haz este reemplazo antes de que caduque el certificado actual.
¿Con qué frecuencia necesito rotar el certificado de firma de mi aplicación SAML?
Los certificados de aplicaciones SAML en la nube suelen tener una vida útil muy larga, como 16 años para Duo, 10 años para Okta y 3 años para las aplicaciones SAML de Entra ID. Los certificados utilizados en IdP SAML locales, como PingFederate o ADFS, se crean y mantienen como cualquier otro certificado x509 en tu entorno, por lo que suelen ser reemplazados anualmente por autoridades de certificación comerciales como Digicert.
¿Cómo sabré si el certificado de firma de mi aplicación SAML está a punto de caducar?
Debes verificar la fecha de caducidad del certificado que está actualmente activo dentro de la aplicación SAML de tu IdP.
Citrix Cloud mostrará una advertencia en tu conexión SAML IdP dentro de Administración de identidades y accesos > Autenticación en la conexión SAML 30 días antes de que caduque el certificado de firma de tu aplicación SAML.
-
Haz clic en Administrar certificados para ser redirigido a la página Ver > Conexión SAML donde puedes cargar un certificado nuevo o quitar uno caducado.
-
Citrix Cloud también mostrará un error en la conexión SAML si el certificado IdP ya ha caducado, como se muestra a continuación. Un certificado IdP caducado hace que la conexión SAML sea inutilizable hasta que se reemplace el certificado.
¿Qué notificaciones recibiré de Citrix Cloud cuando el certificado de firma de mi aplicación SAML esté a punto de caducar?
Los administradores de Citrix Cloud recibirán una notificación crítica si tienen una o más conexiones SAML con certificados IdP que caducarán en los próximos 30 días. Citrix Cloud supervisa todas las conexiones SAML y detectará cualquiera que contenga un certificado que esté a punto de caducar en los próximos 30 días. También puedes recibir notificaciones de tu IdP SAML sobre certificados de aplicaciones SAML que caducarán, además de las notificaciones de tu inquilino de Citrix Cloud.
Importante:
Si tus administradores de Citrix Cloud han optado por deshabilitar todas las notificaciones por correo electrónico y de la consola de Citrix Cloud, es posible que te pierdas estas advertencias críticas a medida que tu certificado IdP SAML se acerque a su fecha de caducidad. Tus administradores de Citrix Cloud son responsables de garantizar que al menos uno o más usuarios administradores activos puedan recibir estas notificaciones críticas. Consulta este artículo sobre cómo los administradores de Citrix Cloud gestionan sus notificaciones
Cada notificación de caducidad del certificado IdP contiene detalles para ayudarte a identificar la conexión SAML dentro de Citrix Cloud y el certificado IdP que caducará dentro de tu proveedor de identidades. Navega hasta Administración de identidades y accesos > Autenticación.
- Alias de conexión SAML:
ExpiringIdPCert - ID de conexión SAML:
e65e3d1d-f4fa-40f4-a53e-de84a270011c - Nombre común del certificado:
CN=expiringcert.domain.com - Fecha de caducidad:
2025-12-27
Notificaciones de administrador dentro del portal de Citrix Cloud
Navega a la página de inicio de Citrix Cloud, haz clic en el icono de la campana y selecciona ver todas las notificaciones. Busca alertas críticas que indiquen el certificado y la conexión SAML que caducarán en los próximos 30 días.
Notificaciones por correo electrónico
Una vez que se ha enviado una vez una notificación de caducidad del certificado IdP, no se volverá a enviar. Esto es para evitar el envío de correo no deseado innecesario y garantizar que los administradores de Citrix Cloud solo reciban el correo electrónico de notificación una vez y no otro correo electrónico todos los días durante todo el período de 30 días a medida que se acerca la caducidad. Si se descarta la notificación de Citrix Cloud, no se volverá a enviar.
¿Puedo actualizar el certificado IdP SAML mientras sigo usando la conexión SAML de Citrix Cloud sin provocar una interrupción?
Sí. La introducción de un segundo certificado IdP en la conexión IdP SAML permite renovaciones de certificados de aplicaciones SAML sin interrupciones. Carga el nuevo certificado al menos 24 horas antes de que caduque el certificado actual. Tus usuarios finales de Workspace o los usuarios administradores de Citrix Cloud no deberían verse afectados siempre que hayas seguido este artículo correctamente.
¿Dónde obtengo una copia del último certificado de firma del proveedor de identidades (IdP) de mi aplicación SAML?
Los certificados utilizados en IdP SAML locales, como PingFederate, se obtienen de autoridades de certificación privadas dentro de tu organización o de autoridades de certificación comerciales como Digicert. Las aplicaciones SAML de IdP SAML basadas en la nube pueden generar nuevos certificados IdP bajo demanda en cualquier momento dentro de la interfaz de usuario de la aplicación SAML. Los nuevos certificados de firma IdP se pueden generar en cualquier momento y establecer como Inactivos.
¿Puede Citrix Cloud confiar en dos certificados de firma IdP diferentes al mismo tiempo?
Sí. Las renovaciones de certificados IdP sin interrupciones dependen de esto. Las conexiones SAML de Citrix Cloud confían en las respuestas SAML. Estas respuestas deben firmarse con cualquiera de los dos certificados de firma IdP de confianza que se hayan cargado en la conexión SAML. Si uno de los certificados ha caducado, Citrix Cloud ya no puede confiar en él y tu aplicación SAML no debería usarlo más.
Las conexiones SAML de Citrix Cloud pueden almacenar uno o dos certificados de aplicación SAML.
Slot1: contiene el certificado que cargaste en la conexión SAML de Citrix Cloud cuando la creaste por primera vez. Este certificado debe reemplazarse antes de que caduque para evitar interrupciones.
Slot2: siempre está vacío después de que se haya creado tu conexión SAML, pero se puede usar para cargar un nuevo certificado de aplicación SAML antes de que caduque el certificado en Slot1. Está destinado a proporcionar un certificado de confianza alternativo para reemplazar el certificado de firma de Slot1 que está a punto de caducar.
¿Cuándo debo quitar el certificado de firma del proveedor de identidades (IdP) “antiguo” de mi conexión SAML en Citrix Cloud?
El certificado de firma del proveedor de identidades (IdP) antiguo solo debes quitarlo de la conexión SAML de Citrix Cloud DESPUÉS de que hayas comprobado que el certificado de firma “nuevo” se ha activado en tu aplicación SAML Y hayas iniciado sesión correctamente en Workspace y/o Citrix Cloud usándolo. Es más fácil revertir una tarea de mantenimiento de rotación de certificados IdP fallida si ambos certificados IdP siguen presentes en la conexión de Citrix Cloud. Citrix Cloud puede confiar en ambos certificados siempre que ambos sigan siendo válidos. Si el certificado IdP ya ha caducado, entonces no es posible revertir a él.
¿Cómo puedo saber qué certificado de firma de IdP está usando actualmente mi aplicación SAML para firmar la respuesta SAML?
Tu aplicación SAML usa solo un certificado a la vez para firmar la respuesta SAML. Usa el certificado que está configurado como activo en tu aplicación SAML. El certificado de firma de IdP activo también está presente en los metadatos de la aplicación SAML.
Las siguientes capturas de pantalla muestran ejemplos de Entra ID.
La siguiente captura de pantalla muestra un ejemplo de Okta.
Realizar una rotación del certificado IdP de la aplicación SAML como tarea de mantenimiento programada
Importante:
Al menos uno de tus certificados IdP dentro de tu conexión SAML debe estar vigente y activo en tu IdP para evitar una interrupción del servicio. Si tienes un solo certificado IdP configurado en el certificado de Citrix Cloud y este caduca, tus usuarios experimentarán una interrupción del servicio y tu inicio de sesión SAML fallará. Esta situación afecta a los usuarios de Workspace y/o a los usuarios administradores de Citrix Cloud, dependiendo de cómo se utilice tu conexión SAML.
-
Planifica realizar la rotación del certificado IdP varios días antes de la fecha de caducidad de tu certificado actual.
-
Obtén una copia del certificado IdP de reemplazo desde tu aplicación SAML al que deseas rotar. Asegúrate de que el certificado IdP esté en formato PEM, CER o CRT para poder subirlo a tu conexión SAML de Citrix Cloud.
-
Sube el certificado IdP de reemplazo a tu conexión SAML de Citrix al menos 24 horas antes de que quieras activar la rotación del certificado dentro de tu aplicación SAML.
Ve a tu conexión SAML dentro de Administración de identidades y accesos > Autenticación. Selecciona los 3 puntos en una conexión SAML con un certificado que caduca en los próximos 30 días y haz clic en Ver.
O bien,
Haz clic en Administrar certificados.
-
Sube el segundo certificado IdP usando la opción de carga Slot2 dentro de la conexión SAML de Citrix Cloud.
-
Guarda la conexión SAML después de haber subido el nuevo certificado.
-
Espera aproximadamente 24 horas y luego realiza la acción de sustitución dentro de tu IdP y establece el certificado IdP secundario como activo. El método para sustituir el certificado es diferente para cada IdP SAML.
Importante:
La plataforma de autenticación de Citrix almacena en caché todas las configuraciones de IdP por motivos de resiliencia y rendimiento. No puedes subir el certificado de reemplazo a Citrix Cloud y luego rotar inmediatamente el certificado dentro de tu aplicación SAML debido a los valores almacenados en caché. Se requiere un retraso entre la carga del nuevo certificado y la activación del nuevo certificado dentro de tu aplicación SAML. Este retraso permite que la caché de autenticación de Citrix se actualice con el certificado recién subido. Un retraso de 24 horas es mayor que el valor TTL de la caché. Esta duración garantiza que el nuevo certificado esté disponible cuando la aplicación SAML cambie para usarlo al día siguiente.
Aplicación SAML de Entra ID:
Aplicación SAML de Okta:
-
Prueba que el inicio de sesión SAML se realiza correctamente usando tu URL de Workspace y/o la URL de inicio de sesión SAML de Citrix Cloud y verifica el valor del certificado de firma dentro de la aserción SAML.
¿Cómo subir un certificado IdP SAML secundario a una conexión SAML de dominio personalizado de Workspace existente?
Si necesitas actualizar el certificado IdP utilizado por una aplicación SAML secundaria configurada para admitir un dominio personalizado de Workspace, sigue los mismos pasos documentados anteriormente.
- Ve a Configuración de Workspace > Acceso > URL de Workspace personalizada > Selecciona los 3 puntos > Modificar.
Solución de problemas de rotaciones de certificados de firma de IdP
Si encuentras algún problema de inicio de sesión SAML después de realizar una rotación del certificado IdP, recopila un archivo de seguimiento SAML y examina los datos base64 del certificado dentro de la respuesta SAML.
-
Inicia la captura del seguimiento SAML antes de introducir la URL de Workspace o la URL de Citrix Cloud GO en tu navegador. Asegúrate de capturar todo el proceso de autenticación de principio a fin.
-
Realiza un inicio de sesión SAML en Workspace o Citrix Cloud usando tu IdP y completa el paso de autenticación cuando se te soliciten las credenciales.
-
Localiza la respuesta SAML de tu IdP enviada al punto de conexión SAML de Citrix Cloud
https://saml.cloud.com/saml/acsy la entrada dentro del archivo de seguimiento SAML aquí.
-
Localiza la sección del certificado dentro del XML SAML y copia los datos base64 del certificado de firma del IdP a una herramienta adecuada para decodificarlo.
Importante:
Este paso asume que has seguido la configuración SAML recomendada de Citrix y has utilizado HTTP POST como enlace SAML dentro de tu conexión SAML de Citrix Cloud.
-
Decodifica el certificado de sus datos base64 y verifica que corresponde al certificado activo en el IdP SAML con la fecha y hora correctas.
-
Si el certificado obtenido de la respuesta SAML en los pasos 4 y 5 no es el esperado, activa el certificado correcto dentro de tu IdP. Verifica el certificado activo dentro de tu aplicación SAML. Este certificado se incluye en la respuesta SAML.