Citrix Endpoint Management™

Cargar, actualizar y renovar certificados

April 21, 2026

Contribución de:

C C

Te recomendamos que hagas una lista de los certificados necesarios para tu implementación de Citrix Endpoint Management. Usa la lista para hacer un seguimiento de las fechas de caducidad y las contraseñas de los certificados. Este artículo te ayuda a administrar los certificados durante todo su ciclo de vida.

-  Tu entorno podría incluir los siguientes certificados:

-  Servidor de Citrix Endpoint Management
-  Certificado SSL para FQDN de MDM (Necesario si migraste de XenMobile Server a Citrix Endpoint Management. De lo contrario, Citrix administra este certificado).
-  Certificado SAML (para Citrix Files)
-  Certificados de CA raíz e intermedios para los certificados anteriores y cualquier otro recurso interno (StoreFront/Proxy, etc.)
-  Certificado APNs para la administración de dispositivos iOS
-  Certificado de usuario PKI para la conectividad a PKI (obligatorio si tu entorno requiere autenticación basada en certificados)

-  MDX Toolkit
-  Certificado de desarrollador de Apple
-  Perfil de aprovisionamiento de Apple (por aplicación)
-  Certificado APNs de Apple (para usar con Citrix Secure Mail)
-  Archivo de almacén de claves de Android

-  El SDK de MAM no encapsula aplicaciones, por lo que no requiere un certificado.

-  NetScaler Gateway
-  Certificado SSL para FQDN de MDM
-  Certificado SSL para FQDN de Gateway
-  Certificado SSL para FQDN de ShareFile SZC
-  Certificado SSL para el equilibrio de carga de Exchange (configuración de descarga)
-  Certificado SSL para el equilibrio de carga de StoreFront
-  Certificados de CA raíz e intermedios para los certificados anteriores

Nota:

El dispositivo cliente debe tener el certificado raíz/intermedio necesario para establecer confianza con la autoridad de certificación que emitió el certificado del servidor. De lo contrario, podrías recibir el error SSL 61. Para resolver el problema:

Descarga u obtén el archivo de certificado SSL raíz/intermedio (.crt o .cer) emitido por tu proveedor de certificados SSL. Normalmente, el certificado raíz/intermedio/servidor está presente en el paquete de certificados proporcionado por tu proveedor de servicios SSL.

Instala el certificado raíz/intermedio en el dispositivo cliente.

Si hay un antivirus instalado en el dispositivo cliente, asegúrate de que el antivirus confíe en el certificado.

Cargar certificados

Cada certificado que cargas tiene una entrada en la tabla Certificados, incluida una descripción de su contenido. Cuando configuras componentes de integración de PKI que requieren un certificado, elige un certificado de servidor que cumpla los criterios. Por ejemplo, es posible que quieras configurar Citrix Endpoint Management para que se integre con tu autoridad de certificación (CA) de Microsoft. La conexión a la CA de Microsoft debe autenticarse mediante un certificado de cliente.

Es posible que Citrix Endpoint Management no tenga la clave privada de un certificado determinado. Del mismo modo, es posible que Citrix Endpoint Management no requiera una clave privada para los certificados cargados.

Esta sección proporciona procedimientos generales para cargar certificados. Para obtener más información sobre cómo crear, cargar y configurar certificados de cliente, consulta Certificado de cliente o certificado más autenticación de dominio.

Tienes dos opciones para cargar certificados:

-  Cargar los certificados en la consola de forma individual.
-  Realizar una carga masiva de certificados mediante la API de REST. Esta opción solo está disponible para dispositivos iOS.

    -  Al cargar certificados en la consola, puedes:

    -  Importar un almacén de claves. Luego, identificas la entrada en el repositorio del almacén de claves que quieres instalar, a menos que estés cargando un formato PKCS #12.
    -  Importar un certificado.

    -  Puedes cargar el certificado de CA (sin la clave privada) que la CA utiliza para firmar solicitudes. También puedes cargar un certificado de cliente SSL (con la clave privada) para la autenticación de cliente.

-  Al configurar la entidad de CA de Microsoft, especificas el certificado de CA. Seleccionas el certificado de CA de una lista de todos los certificados de servidor que son certificados de CA. Del mismo modo, al configurar la autenticación de cliente, puedes seleccionar de una lista de todos los certificados de servidor para los que Citrix Endpoint Management tiene la clave privada.

Para importar un almacén de claves

Un almacén de claves es un repositorio de certificados de seguridad. Por diseño, los almacenes de claves pueden tener muchas entradas. Al cargar desde un almacén de claves, debes especificar el alias de entrada que identifica la entrada que quieres cargar. Si no especificas un alias, se carga la primera entrada del almacén. Dado que los archivos PKCS #12 suelen tener solo una entrada, el campo de alias no aparece cuando seleccionas PKCS #12 como tipo de almacén de claves.

En la consola de Citrix Endpoint Management, haz clic en el icono de engranaje en la esquina superior derecha de la consola. Usa la barra de búsqueda para buscar y abrir la configuración de Certificados.
- - 1. Haz clic en Importar. Aparece el cuadro de diálogo Importar.
- 1. Configura estos ajustes:
- Importar: Selecciona Almacén de claves.
- Tipo de almacén de claves: Haz clic en PKCS #12 en la lista desplegable.
- Usar como: En la lista, haz clic en cómo piensas usar el certificado. Las opciones disponibles son: - Servidor: Los certificados de servidor son certificados que utiliza funcionalmente Citrix Endpoint Management. Puedes cargar certificados de servidor en la consola web de Citrix Endpoint Management. Esos certificados incluyen certificados de CA, certificados de RA y certificados para la autenticación de clientes con otros componentes de tu infraestructura. Además, puedes usar certificados de servidor como almacenamiento para los certificados que quieras implementar en los dispositivos. Este uso se aplica especialmente a las CA utilizadas para establecer la confianza en el dispositivo. - SAML: La certificación Security Assertion Markup Language (SAML) te permite proporcionar acceso SSO a servidores, sitios web y aplicaciones. - APNs: Los certificados APNs de Apple permiten la administración de dispositivos móviles a través de la red de notificaciones push de Apple. - Agente de escucha SSL: El agente de escucha de Secure Sockets Layer (SSL) notifica a Citrix Endpoint Management la actividad criptográfica SSL.
- Archivo de almacén de claves: Explora para buscar el almacén de claves que quieres importar. El almacén de claves es un archivo .p12 o .pfx. Selecciona el archivo y haz clic en Abrir.
- Contraseña: Escribe la contraseña asignada al certificado.
- Descripción: Opcionalmente, escribe una descripción para el almacén de claves que te ayude a distinguirlo de tus otros almacenes de claves.
Haz clic en Importar. El almacén de claves se agrega a la tabla Certificados.

Para importar un certificado

Al importar un certificado, Citrix Endpoint Management intenta construir una cadena de certificados a partir de la entrada. Citrix Endpoint Management importa todos los certificados de una cadena para crear una entrada de certificado de servidor para cada certificado. Esta operación solo funciona si los certificados del archivo o la entrada del almacén de claves forman una cadena. Cada certificado subsiguiente de la cadena debe ser el emisor del certificado anterior.

Puedes agregar una descripción opcional para el certificado importado. La descripción solo se adjunta al primer certificado de la cadena. Puedes actualizar la descripción de los certificados restantes más tarde.

En la consola de Citrix Endpoint Management, haz clic en el icono de engranaje en la esquina superior derecha de la consola. Usa la barra de búsqueda para buscar y abrir la configuración de Certificados.
En la página Certificados, haz clic en Importar. Aparece el cuadro de diálogo Importar. Configura lo siguiente:
- Importar: haz clic en Certificado.
- Usar como: Selecciona cómo piensas usar el certificado. Las opciones disponibles son:
  - Servidor: Los certificados de servidor son certificados que utiliza funcionalmente Citrix Endpoint Management. Puedes cargar certificados de servidor en la consola web de Citrix Endpoint Management. Esos certificados incluyen certificados de CA, certificados de RA y certificados para la autenticación de clientes con otros componentes de tu infraestructura. Además, puedes usar certificados de servidor como almacenamiento para los certificados que quieras implementar en los dispositivos. Esta opción se aplica especialmente a las CA utilizadas para establecer la confianza en el dispositivo.
  - SAML: La certificación Security Assertion Markup Language (SAML) te permite proporcionar acceso de inicio de sesión único (SSO) a servidores, sitios web y aplicaciones.
  - Agente de escucha SSL: El agente de escucha de Secure Sockets Layer (SSL) notifica a Citrix Endpoint Management la actividad criptográfica SSL.
- Importación de certificado: Explora para buscar el certificado que quieres importar. Selecciona el archivo y haz clic en Abrir.
- Archivo de clave privada: Explora para buscar un archivo de clave privada opcional para el certificado. La clave privada se usa para el cifrado y descifrado junto con el certificado. Selecciona el archivo y haz clic en Abrir.
- Descripción: Escribe una descripción para el certificado, opcionalmente, para ayudarte a identificarlo de tus otros certificados.
Haz clic en Importar. El certificado se agrega a la tabla Certificados.

Cargar certificados de forma masiva mediante la API de REST

A veces, cargar certificados uno a uno no es razonable. En esos casos, realiza una carga masiva de certificados mediante la API de REST. Este método admite certificados en formato .p12. Para obtener más información sobre la API de REST, consulta REST APIs.

Cambia el nombre de cada uno de los archivos de certificado al formato device_identity_value.p12. El device_identity_value puede ser el IMEI, el número de serie o el MEID de cada dispositivo.

Por ejemplo, si eliges usar números de serie como método de identificación. Un dispositivo tiene el número de serie A12BC3D4EFGH, así que nombra el archivo de certificado que esperas instalar en ese dispositivo A12BC3D4EFGH.p12.
Crea un archivo de texto para almacenar las contraseñas de los certificados .p12. En ese archivo, escribe el identificador del dispositivo y la contraseña de cada dispositivo en una nueva línea. Usa el formato device_identity_value=password. Consulta lo siguiente:
```
A12BC3D4EFGH.p12=password1!
A12BC3D4EFIJ.p12=password2@
A12BC3D4EFKL.p12=password3#

```
Empaqueta todos los certificados y el archivo de texto que creaste en un archivo .zip.
Inicia tu cliente de API de REST, inicia sesión en Citrix Endpoint Management y obtén un token de autenticación.

Importa tus certificados y asegúrate de incluir lo siguiente en el cuerpo del mensaje:

{
    "alias": "",
    "useAs": "device",
    "uploadType": "keystore",
    "keystoreType": "PKCS12",
    "identityType":"SERIAL_NUMBER",        # identity type can be "SERIAL_NUMBER","IMEI","MEID"
    "credentialFileName":"credential.txt"   # The credential file name in .zip
}
<!--NeedCopy-->

Cliente de API de REST

Crea una directiva VPN con el tipo de credencial Always on IKEv2 y el método de autenticación de dispositivo Device Certificate Based on Device Identity. Selecciona el tipo de identidad de dispositivo que usaste en los nombres de archivo de tu certificado. Consulta Directiva de dispositivo VPN.
Inscribe un dispositivo iOS y espera a que se implemente la directiva VPN. Confirma la instalación del certificado comprobando la configuración de MDM en el dispositivo. También puedes comprobar los detalles del dispositivo en la consola de Citrix Endpoint Management.

También puedes eliminar certificados de forma masiva creando un archivo de texto con el device_identity_value enumerado para cada certificado que quieras eliminar. En la API de REST, llama a la API de eliminación y usa la siguiente solicitud, reemplazando device_identity_value por el identificador adecuado:
```
 {
     "identityType"="device_identity_value"
 }
 
```

Cliente de API de REST

Actualizar un certificado

Citrix Endpoint Management solo permite que exista un certificado por clave pública en el sistema a la vez. Si intentas importar un certificado para el mismo par de claves que un certificado ya importado, puedes:

Reemplaza la entrada existente.
Quita la entrada.

Después de cargar un certificado nuevo para reemplazar uno antiguo, no puedes quitar el certificado antiguo. Cuando configuras el ajuste de Entidades PKI, ambos certificados existen en el menú Certificado de cliente SSL. El certificado más reciente aparece más abajo en la lista que el certificado antiguo.

Para actualizar tus certificados

Crea un certificado de reemplazo siguiendo los pasos de Certificado de cliente o certificado más autenticación de dominio.

Importante:

No uses la opción para crear un certificado con la clave privada existente. Cuando creas un certificado para actualizar uno que está a punto de caducar, la clave privada también debe ser nueva.
En la consola de Citrix Endpoint Management, haz clic en el icono de engranaje en la esquina superior derecha de la consola. Usa la barra de búsqueda para encontrar y abrir el ajuste Certificados.
En el cuadro de diálogo Importar, importa el nuevo certificado.

Cuando actualizas un certificado de servidor, los componentes que usan el certificado anterior cambian automáticamente para usar el nuevo certificado. Del mismo modo, si has implementado el certificado de servidor en los dispositivos, el certificado se actualiza automáticamente en la siguiente implementación.
Para actualizar un certificado APNs, sigue los pasos para crear un certificado y luego ve al Portal de certificados push de Apple. Para obtener más información, consulta Renovar un certificado APNs.
Si tu NetScaler Gateway está configurado para la descarga SSL, asegúrate de actualizar tu equilibrador de carga con el nuevo cacert.pem.

Nota:

Si has migrado de XenMobile local a Citrix Endpoint Management y estás actualizando tu certificado, contacta con el Soporte de Citrix después de completar los pasos anteriores. Necesitas proporcionarles una copia del nuevo certificado (en formato PFX), incluida la contraseña del certificado. El Soporte de Citrix actualiza el NetScaler en la nube y reinicia los nodos de inquilino para finalizar el proceso de actualización del certificado.

Para actualizar una autoridad de certificación (CA) de servicio PKI

Puedes solicitar a Citrix Cloud Operations que actualice o regenere las autoridades de certificación (CA) PKI internas en tu implementación de Citrix Endpoint Management. Abre un caso de Soporte técnico para estas solicitudes.

Cuando las nuevas CA estén disponibles, Cloud Operations te informará de que puedes proceder a renovar los certificados de dispositivo para tus usuarios.

Renovar certificados de dispositivo

Si un certificado en un dispositivo caduca, el certificado deja de ser válido. Ya no puedes ejecutar transacciones seguras en tu entorno y no puedes acceder a los recursos de Citrix Endpoint Management. La Autoridad de Certificación (CA) te pide que renueves tu certificado SSL antes de la fecha de caducidad. Sigue los pasos descritos anteriormente para actualizar el certificado y luego inicia una renovación de certificado en los dispositivos inscritos.

Para los dispositivos iOS, macOS y Android compatibles, puedes iniciar la renovación del certificado a través de la acción de seguridad, Renovación de certificado. Renuevas los certificados de dispositivo desde la consola de Citrix Endpoint Management o la API REST pública. Para los dispositivos Windows inscritos, los usuarios deben volver a inscribir sus dispositivos para recibir una nueva autoridad de certificación (CA) de dispositivo.

La próxima vez que los dispositivos se conecten a Citrix Endpoint Management, el servidor de Citrix Endpoint Management emitirá nuevos certificados de dispositivo basados en la nueva CA.

Para renovar certificados de dispositivo usando la consola

Ve a Administrar > Dispositivos y selecciona los dispositivos para los que quieres renovar los certificados de dispositivo.
Haz clic en Proteger y luego en Renovación de certificado.

Los dispositivos inscritos siguen funcionando sin interrupciones. Citrix Endpoint Management emite un certificado de dispositivo cuando un dispositivo se conecta de nuevo al servidor.

Para consultar los dispositivos que se encuentran en un grupo de CA de emisor de certificado de dispositivo específico:

En Administrar > Dispositivos, expande el panel Filtros.
En el panel Filtros, expande CA de emisor de certificado de dispositivo y luego selecciona las CA de emisor que quieres renovar.

En la tabla de dispositivos, aparecen los dispositivos para las CA de emisor seleccionadas.

Para renovar certificados de dispositivo usando la API REST

Citrix Endpoint Management usa internamente las siguientes autoridades de certificación (CA) para PKI: CA raíz, CA de dispositivo y CA de servidor. Estas CA forman un grupo lógico y tienen un nombre de grupo. Durante el aprovisionamiento de Citrix Endpoint Management, el servidor genera tres CA y les asigna el nombre de grupo “default”.

La CA emite las siguientes API para administrar y renovar los certificados de dispositivo. Los dispositivos ya inscritos siguen funcionando sin interrupciones. Citrix Endpoint Management emite un certificado de dispositivo cuando un dispositivo se conecta de nuevo al servidor. Para obtener más información, descarga el PDF de la API pública para servicios REST.

Devolver una lista de dispositivos que aún usan la CA antigua (consulta la sección 3.16.2 del PDF de la API pública para servicios REST)
Renovar certificado de dispositivo (consulta la sección 3.16.58)
Obtener todos los grupos de CA (consulta la sección 3.23.1)

Certificado APNs para Citrix Secure Mail

Los certificados del Servicio de notificaciones push de Apple (APNs) caducan cada año. Asegúrate de crear un certificado SSL de APNs y de actualizarlo en el portal de Citrix antes de que caduque el certificado. Si el certificado caduca, los usuarios experimentan inconsistencias con las notificaciones push de Citrix Secure Mail. Además, ya no podrás enviar notificaciones push para tus aplicaciones.

Certificado APNs para la administración de dispositivos iOS

Para inscribir y administrar dispositivos iOS con Citrix Endpoint Management, configura y crea un certificado APNs de Apple. Si el certificado caduca, los usuarios no podrán inscribirse en Citrix Endpoint Management y tú no podrás administrar sus dispositivos iOS. Para obtener más información, consulta Certificados APNs.

Puedes ver el estado y la fecha de caducidad del certificado APNs iniciando sesión en el portal de certificados push de Apple. Asegúrate de iniciar sesión como el mismo usuario que creó el certificado.

También recibirás una notificación por correo electrónico de Apple 30 y 10 días antes de la fecha de caducidad. La notificación incluye la siguiente información:

The following Apple Push Notification Service certificate, created for Apple ID CustomerID will expire on Date. Revoking or allowing this certificate to expire will require existing devices to be re-enrolled with a new push certificate.

Please contact your vendor to generate a new request (a signed CSR), then visit https://identity.apple.com/pushcert to renew your Apple Push Notification Service certificate.

Thank You,

Apple Push Notification Service
<!--NeedCopy-->

MDX Toolkit (certificado de distribución de iOS)

Una aplicación que se ejecuta en un dispositivo iOS físico (que no sean aplicaciones de la App Store de Apple) tiene estos requisitos de firma:

Firma la aplicación con un perfil de aprovisionamiento.
Firma la aplicación con un certificado de distribución correspondiente.

Para verificar que tienes un certificado de distribución de iOS válido, haz lo siguiente:

Desde el portal de desarrolladores empresariales de Apple, crea un ID de aplicación explícito para cada aplicación que planees empaquetar con MDX. Un ejemplo de ID de aplicación aceptable es: com.CompanyName.ProductName.
Desde el portal de desarrolladores empresariales de Apple, ve a Perfiles de aprovisionamiento > Distribución y crea un perfil de aprovisionamiento interno. Repite este paso para cada ID de aplicación creado en el paso anterior.
Descarga todos los perfiles de aprovisionamiento. Para obtener más información, consulta Empaquetar aplicaciones móviles iOS.

Para confirmar que todos los certificados de servidor de Citrix Endpoint Management son válidos, haz lo siguiente:

En la consola de Citrix Endpoint Management, haz clic en Configuración > Certificados.
Comprueba que todos los certificados, incluidos los certificados APNs, de escucha SSL, raíz e intermedios, son válidos.

Almacén de claves de Android

El almacén de claves es un archivo que contiene certificados utilizados para firmar tu aplicación de Android. Cuando caduca el período de validez de tu clave, los usuarios ya no pueden actualizar sin problemas a nuevas versiones de tu aplicación.

NetScaler Gateway

Para obtener más información sobre cómo gestionar la caducidad de los certificados para NetScaler Gateway, consulta Cómo gestionar la caducidad de los certificados en NetScaler en el Centro de conocimientos de asistencia de Citrix.

Un certificado de NetScaler Gateway caducado impide que los usuarios se inscriban y accedan a Store. El certificado caducado también impide que los usuarios se conecten a Exchange Server al usar Citrix Secure Mail. Además, los usuarios no pueden enumerar ni abrir aplicaciones HDX (dependiendo de qué certificado haya caducado).

Expiry Monitor y Command Center pueden ayudarte a realizar un seguimiento de tus certificados de NetScaler Gateway. El Centro te notifica cuando el certificado caduca. Estas herramientas ayudan a supervisar los siguientes certificados de NetScaler Gateway:

Certificado SSL para FQDN de MDM
Certificado SSL para FQDN de Gateway
Certificado SSL para FQDN de ShareFile SZC
Certificado SSL para equilibrio de carga de Exchange (configuración de descarga)
Certificado SSL para equilibrio de carga de StoreFront
Certificados de CA raíz e intermedios para los certificados anteriores

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Cargar, actualizar y renovar certificados

April 21, 2026

Contribución de:

C C

April 21, 2026

Contribución de:

C C

¿Le ha resultado útil?