Documentación de productos
Citrix Cloud™
Ver PDF

Actualiza el certificado de firma SAML del proveedor de servicios

April 2, 2026
Author:  Mark Dear

Las conexiones SAML que usan solicitudes y respuestas firmadas dependen de dos certificados de firma SAML diferentes. Uno para cada lado de la conexión SAML.

Certificado de firma del proveedor de servicios

Citrix proporciona este certificado a través de los metadatos SAML de Citrix Cloud™ y se actualiza durante la fase de anuncio de la rotación del certificado de firma del SP. Esto ocurre al menos una vez al año natural.

Los certificados de firma SAML deben rotarse antes de su fecha de caducidad para dar tiempo a los administradores de Citrix Cloud a preparar la implementación. La rotación de certificados es necesaria tanto para los proveedores de servicios como para los proveedores de identidades para garantizar la alineación y evitar cualquier tiempo de inactividad.

Si un proveedor SAML seleccionado no admite la rotación automática del certificado de firma SAML del SP, debes realizar una rotación manual del certificado de firma SAML dentro de tu proveedor SAML para reemplazar el certificado que está a punto de caducar.

Importante:

Todas las guías existentes en esta sección de eDoc SAML incluyen detalles sobre cómo configurar la firma en ambos lados de la conexión SAML. Citrix® solo recomienda configuraciones SAML firmadas, ya que son más seguras y algunos proveedores SAML las requieren para que el cierre de sesión (SLO) se realice correctamente.

Preguntas frecuentes

¿Qué es la firma SAML?

El protocolo SAML utiliza mensajes para solicitar autenticación y enviar aserciones de identidad. La seguridad de estos mensajes depende tanto de la seguridad a nivel de transporte como a nivel de mensaje. Los mensajes son documentos XML que se firman de acuerdo con la sintaxis de firma XML. Esto proporciona tanto la garantía de integridad del mensaje como la autenticación del remitente al demostrar que posee la clave privada. El modelo de confianza se describe en: SAML Security and Privacy Considerations. Las claves públicas utilizadas para definir qué claves privadas son de confianza se pueden distribuir en cualquier formato adecuado. Citrix utiliza certificados X.509 como contenedores adecuados para distribuir y consumir claves.

¿Qué es la aplicación de solicitudes firmadas SAML?

El hecho de que Citrix Cloud esté configurado para enviar solicitudes firmadas dentro de la conexión SAML no garantiza que el proveedor SAML aplique el uso de firmas y rechace cualquier solicitud SAML entrante sin firmar. La mayoría de los IdP SAML tienen una opción para aplicar solicitudes firmadas. Si se recibe una solicitud sin firmar para iniciar sesión en el proveedor SAML, el inicio de sesión SAML fallará. Algunos IdP SAML, como Duo, ni siquiera ofrecen esta opción. Es responsabilidad del administrador del IdP SAML verificar el estado de la configuración del IdP SAML. El soporte de Citrix no controla ni tiene visibilidad de si las solicitudes firmadas se aplican dentro de tu aplicación SAML.

¿Con qué frecuencia rota Citrix su certificado de firma SAML del proveedor de servicios?

Para permitir una superposición suficiente entre el certificado de firma del proveedor de servicios activo y el recién emitido, Citrix rota el certificado de firma del proveedor de servicios aproximadamente cada 11 meses. Esto es para asegurar que un certificado válido esté disponible para los clientes de Citrix Cloud 30 días antes de que el nuevo certificado se active.

¿Qué es la fase de anuncio del certificado de firma SAML del proveedor de servicios?

Durante la fase de anuncio, los certificados de firma SAML actuales y de reemplazo estarán presentes en los metadatos de Citrix Cloud. Solo el certificado activo se puede usar para la verificación de solicitudes SAML hasta la fecha y hora de rotación. Esta es la fecha y hora especificadas en los correos electrónicos de Citrix Cloud y las notificaciones de la consola de Citrix Cloud.

  • Importante:

  • La fecha de caducidad del certificado de firma no es la misma que la fecha de activación. Es la fecha de activación a la que los administradores de Citrix e IdP deben prestar atención, NO a la fecha de caducidad del certificado. El certificado de firma de Citrix Cloud siempre se rotará antes de que caduque.

Puedes verificar la fecha y hora de anuncio y activación usando este enlace: Plan de rotación.

Las fechas y horas se proporcionan como marcas de tiempo de época Unix para cada evento en el proceso de rotación del certificado de firma del proveedor de servicios.

Plan de rotación SAML

Usa Epoch converter para convertir las marcas de tiempo de época Unix a un formato de fecha y hora legible.

Marca de tiempo Unix SAML

¿Por qué Citrix ha decidido usar un certificado de firma SAML de Citrix Cloud autofirmado en lugar de un certificado firmado por una autoridad de certificación pública como Digicert?

El Emisor: dentro de la última versión del certificado de firma SAML que debes cargar en tus aplicaciones SAML es ahora “samlsigning.cloud.com, Citrix Systems Inc.” en lugar de una autoridad de certificación pública como Digicert. El uso de certificados de firma de SP autofirmados es para mitigar una vulnerabilidad SAML conocida con certificados emitidos externamente, conocida como “Silver SAML”.

¿Por qué he recibido una notificación por correo electrónico y en la consola de Citrix Cloud indicando que el certificado de firma SAML actual de Citrix Cloud está a punto de caducar y debe ser reemplazado?

Los proveedores SAML (IdP) requieren un certificado válido y actualizado para verificar la firma de las solicitudes SAML entrantes de proveedores de servicios como Workspace y la consola de Citrix Cloud. Se contactará a los clientes de Citrix Cloud que utilicen SAML para Workspace o el inicio de sesión en la consola de Citrix Cloud para informarles de una inminente rotación del certificado de firma SAML.

Notificación de la consola de Citrix Cloud

Notificación por correo electrónico de Citrix Cloud

¿Cómo sé si mi cliente de Citrix Cloud se ve afectado por la rotación del certificado de firma SAML de Citrix Cloud?

Esto afectará a los clientes de Citrix Cloud con la siguiente configuración SAML.

-  Tu conexión SAML dentro de Citrix Cloud está configurada con **Firmar solicitudes de autenticación = Sí**
-  Has configurado tu proveedor SAML, como Azure Active Directory, ADFS u Okta, para rechazar solicitudes SAML sin firmar (aplicación de firma).
-  Tienes el cierre de sesión único (SLO) configurado dentro de tu conexión SAML de Citrix Cloud y dentro de tu proveedor SAML. Las solicitudes de SLO deben firmarse como parte de las mejores prácticas de seguridad.

¿Cómo compruebo la configuración de firma de mi conexión SAML de Citrix Cloud?

Ve a Administración de identidades y accesos > SAML 2.0 > Ver para comprobar si tienes Firmar solicitudes de autenticación habilitada en tu conexión SAML de Citrix Cloud. Todas las nuevas conexiones SAML en Citrix Cloud se establecerán de forma predeterminada en Firmar solicitudes de autenticación/cierre de sesión del proveedor de identidades = Sí tanto para el inicio de sesión (SSO) como para el cierre de sesión (SLO).

Solicitud de firma de autenticación de IdP

-  ![Solicitud de firma de cierre de sesión (SLO) de IdP](/en-us/citrix-cloud/media/idp-slo-req.png)

-  ### ¿Cómo compruebo si la aplicación de firma está configurada en mi aplicación SAML?

Esto varía según el proveedor SAML que estés usando. Todas las soluciones SAML documentadas de Citrix incluyen pasos para habilitar la aplicación de firma como parte de las mejores prácticas de seguridad.

EntraID: Ejemplo de aplicación de firma:

SAML EntraID: Ejemplo de aplicación de firma

Okta: Ejemplo de aplicación de firma:

SAML Okta: Ejemplo de aplicación de firma

¿Dónde obtengo una copia del certificado de firma de proveedor de servicios (SP) más reciente?

Citrix proporciona este certificado a través de los metadatos SAML de Citrix Cloud y se actualiza periódicamente durante la fase de anuncio de la rotación del certificado de firma de SP. Esto ocurre al menos una vez al año natural.

EE. UU., UE y APS: https://saml.cloud.com/saml/metadata

JP: https://saml.citrixcloud.jp/saml/

GOV: https://saml.cloud.us/saml/metadata

¿Cuándo es seguro quitar el antiguo certificado de firma SAML de Citrix Cloud si mi aplicación SAML admite varios certificados de verificación?

Solo quita el antiguo certificado de firma de Citrix Cloud de tus aplicaciones SAML después de la fecha y hora de activación del certificado indicadas en el correo electrónico y en la notificación de la consola de Citrix Cloud. Algunos IdP SAML, como Okta, solo permiten cargar un certificado de firma a la vez. En esta situación, no hay más remedio que sobrescribir el certificado actual con el nuevo después de la fecha y hora de activación. Esto no debe hacerse antes de la fecha y hora de activación.

Usa el intercambio de metadatos para actualizar automáticamente el proveedor SAML con el certificado de firma SAML de SP de Citrix Cloud más reciente

Mediante el intercambio de metadatos SAML, el proveedor SAML consume los metadatos SAML de Citrix Cloud automáticamente supervisando la URL de los metadatos, como https://saml.cloud.com/saml/metadata. Si tu proveedor SAML admite el intercambio de metadatos SAML, entonces el certificado de firma de SP podría haberse actualizado automáticamente. Verifica que tu proveedor SAML admita el intercambio de metadatos. Después, puedes verificar si la actualización se ha producido antes de que caduque el certificado de firma SAML actual.

Certificado de firma SAML de SP de Citrix Cloud

Importante

Existe una gran variación en cuanto a las características SAML que admite cada proveedor SAML de terceros. Es responsabilidad del administrador de Citrix Cloud conocer y comprender las capacidades y los requisitos del proveedor SAML que estés usando. Esto es necesario para garantizar que tanto la configuración de la conexión SAML de Citrix Cloud (SP) como la configuración del proveedor SAML (IdP) coincidan. Consulta la documentación de tu proveedor SAML para determinar si admite la verificación de firma y si las solicitudes y respuestas SAML deben firmarse.

Actualiza manualmente el proveedor SAML con el certificado de firma SAML de SP de Citrix Cloud más reciente

Importante

La rotación del certificado de SP debe realizarse cada vez que se publica un nuevo certificado desde Citrix Cloud; de lo contrario, el inicio de sesión SAML se verá afectado y sufrirás tiempo de inactividad.

Obtén una copia del futuro certificado de proveedor de servicios de los metadatos de Citrix Cloud

  1. Adquiere los metadatos SAML más recientes de Citrix Cloud viendo tu conexión SAML actual en Administración de identidades y accesos, haz clic en Autenticación, selecciona Conexión SAML y haz clic en Ver. La siguiente imagen es un ejemplo de cómo podría ser este archivo para regiones de Citrix Cloud como EE. UU., UE y APS:

    https://saml.cloud.com/saml/metadata

    Ejemplo de archivo XML de metadatos

    En este ejemplo de archivo XML de metadatos, hay dos certificados de firma SAML de Citrix Cloud x.509.

  2. Es posible extraer el certificado x.509 de los metadatos cargando el archivo XML en una herramienta de terceros o proporcionando la URL de los metadatos.
  3. Ve a https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract

  4. Introduce la URL de los metadatos SAML que corresponde a tu región de cliente de Citrix Cloud:

    Extracción de certificado de metadatos

    Descarga el certificado de firma SAML desde https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract.

    Extracción del certificado de metadatos

  5. Sube el certificado SAML de SP de Citrix Cloud recién extraído a tu proveedor de SAML. Este proceso será diferente para cada proveedor de SAML. Verifica el procedimiento adecuado de rotación del certificado de firma de SP usando la documentación específica de tu proveedor de SAML.

    Dependiendo de tu proveedor de SAML, el certificado de firma SAML existente podría necesitar ser reemplazado por el nuevo. En algunos casos, el proveedor de SAML podría admitir varios certificados de firma de SP al mismo tiempo, por lo que solo subir el nuevo será suficiente. Se recomienda que quites el certificado antiguo una vez que haya caducado.

O BIEN,

Obtener una copia del futuro certificado del proveedor de servicios desde la interfaz de usuario de Citrix Cloud

  1. Dentro del asistente Configurar SAML 2.0 para nuevas conexiones creadas manualmente.

  2. Ve a la página Proveedor de identidades dentro del flujo del asistente.

  3. Selecciona No puedo usar la URL de metadatos. ¿Cuáles son las otras opciones?

    No se pueden usar metadatos

  4. Selecciona Introducir campos de metadatos manualmente y ve a la sección Certificados del proveedor de servicios.

  5. Descarga la futura versión del certificado de firma de Citrix Cloud.

    Descargar certificado de SP

Subir un certificado de firma SAML de Citrix Cloud de reemplazo a tu aplicación SAML de Azure Active Directory

Antes de configurar la aplicación SAML de Azure Active Directory, consulta Verificación de la firma de la solicitud SAML para obtener más información.

  1. Ve a Azure Active Directory, selecciona Aplicaciones empresariales y haz clic en Tu aplicación SAML.

  2. Localiza la sección de certificados SAML dentro de la aplicación SAML.

    Producción de SSO de SAML

  3. Selecciona Cargar certificado y sube el certificado de firma SAML de Citrix Cloud de reemplazo obtenido de los metadatos SAML.

    Certificados de verificación

Nota:

Las aplicaciones SAML de Azure Active Directory pueden tener varios certificados de verificación de firma configurados, por lo que es posible subir un certificado de reemplazo mucho antes de que el certificado actual haya caducado. La siguiente captura de pantalla muestra dos certificados válidos. Uno de los certificados caducará en un futuro próximo. Siempre que al menos uno de los certificados subidos sea válido y no haya caducado, un inicio de sesión SAML en Citrix Workspace™ y Citrix Cloud seguirá siendo exitoso y no experimentarás una interrupción.

Certificado de verificación

Importante:

No quites el certificado de verificación existente hasta después de que haya pasado la fecha y hora de rotación de SAML indicadas en el correo electrónico y en la notificación de la consola de Citrix Cloud. El nuevo certificado de Citrix Cloud solo se activa en la fecha y hora indicadas en esas dos notificaciones.

Subir un certificado de firma SAML de Citrix Cloud de reemplazo a tu aplicación SAML de Okta

Okta no admite varios certificados de firma SAML de SP al mismo tiempo. No tienes más remedio que sobrescribir el certificado de firma SAML de SP de Citrix Cloud existente que estás usando actualmente con el nuevo. Se recomienda que hagas esto en una ventana de mantenimiento programada.

  1. Ve a Aplicaciones, selecciona Aplicaciones y busca tu aplicación SAML de Okta.

    Buscar aplicación SAML de Okta

  2. Desde General, ve a Configuración de SAML, haz clic en Editar, selecciona Configurar SAML, selecciona Mostrar configuración avanzada y haz clic en Certificado de firma para subir un reemplazo. Okta no muestra el certificado de firma SAML de Citrix Cloud actual en la interfaz de usuario de carga. Solo mostrará el certificado de reemplazo después de que este haya sido subido.

    Certificado de firma

  3. Selecciona Certificado de firma, haz clic en Examinar archivos y sube el certificado de firma SAML de Citrix Cloud de reemplazo obtenido de los metadatos SAML de Citrix Cloud.

    Certificado de firma

Importante

No sobrescribas el certificado de verificación existente hasta la fecha y hora de rotación de SAML indicadas en el correo electrónico y en la notificación de la consola de Citrix Cloud. El nuevo certificado de Citrix Cloud solo se activa en la fecha y hora indicadas en esas dos notificaciones.

Actualiza el certificado de firma SAML del proveedor de servicios
April 2, 2026
Author:  Mark Dear
April 2, 2026
Author:  Mark Dear

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.