Produktdokumentation
Citrix Cloud

SAML-Signaturzertifikat des Dienstanbieters aktualisieren

April 10, 2025
Author:  Mark Dear

SAML-Verbindungen, die signierte Anfragen und Antworten verwenden, sind von zwei unterschiedlichen SAML-Signaturzertifikaten abhängig. Eine für jede Seite der SAML-Verbindung.

Signaturzertifikat des Dienstanbieters

Dieses Zertifikat wird von Citrix über die SAML-Metadaten der Citrix Cloud bereitgestellt und während der Ankündigungsphase der Rotation des SP-Signaturzertifikats aktualisiert. Dies geschieht mindestens einmal pro Kalenderjahr.

SAML-Signaturzertifikate müssen vor ihrem Ablaufdatum rotiert werden, um dem Citrix Cloud-Administrator Zeit für die Vorbereitung der Bereitstellung zu geben. Sowohl Dienstanbieter als auch Identitätsanbieter fordern eine Zertifikatsrotation, um den Abgleich sicherzustellen und Ausfallzeiten zu vermeiden.

Wenn ein ausgewählter SAML-Anbieter die automatische Rotation des SP SAML-Signaturzertifikats nicht unterstützt, muss eine manuelle Rotation des SAML-Signaturzertifikats innerhalb Ihres SAML-Anbieters durchgeführt werden, um das ablaufende Zertifikat zu ersetzen.

Wichtig:

Alle vorhandenen Anleitungen in diesem SAML-eDoc-Abschnitt enthalten Details zum Konfigurieren der Signierung auf beiden Seiten der SAML-Verbindung. Citrix empfiehlt nur signierte SAML-Konfigurationen, da diese sicherer sind und von einigen SAML-Anbietern für eine erfolgreiche Abmeldung (SLO) benötigt werden.

Häufig gestellte Fragen

Was ist SAML-Signierung?

Das SAML-Protokoll verwendet Nachrichten, um eine Authentifizierung anzufordern und Identitätsbestätigungen zu senden. Die Sicherheit dieser Nachrichten hängt sowohl von der Sicherheit auf Transport- als auch auf Nachrichtenebene ab. Bei den Nachrichten handelt es sich um XML-Dokumente, die gemäß der XML-Signatursyntax signiert sind. Dadurch wird sowohl die Integrität der Nachricht sichergestellt als auch der Absender durch den Nachweis, dass er über den privaten Schlüssel verfügt, authentifiziert. Das Vertrauensmodell wird durch SAML-Sicherheits- und Datenschutzüberlegungen beschrieben. Die öffentlichen Schlüssel, die zum Definieren der vertrauenswürdigen privaten Schlüssel verwendet werden, können in jedem geeigneten Format verteilt werden. Citrix verwendet X.509-Zertifikate als geeignete Container zum Verteilen und Verwenden von Schlüsseln.

Was ist die Durchsetzung von SAML-signierten Anfragen?

Nur weil Citrix Cloud so konfiguriert ist, dass signierte Anfragen innerhalb der SAML-Verbindung gesendet werden, ist dies keine Garantie dafür, dass der SAML-Anbieter die Verwendung von Signaturen erzwingt und alle nicht signierten eingehenden SAML-Anfragen ablehnt. Die meisten SAML-IdPs verfügen über eine Option zum Erzwingen signierter Anfragen. Wenn eine nicht signierte Anfrage zur Anmeldung beim SAML-Anbieter eingeht, schlägt die SAML-Anmeldung fehl. Einige SAML-IdPs wie Duo bieten diese Option nicht einmal an. Es liegt in der Verantwortung des SAML-IdP-Administrators, den Status der SAML-IdP-Konfiguration zu überprüfen. Der Citrix-Support hat keine Kontrolle darüber und auch keinen Einblick, ob signierte Anforderungen in Ihrer SAML-Anwendung erzwungen werden.

Wie häufig rotiert Citrix sein SAML-Signaturzertifikat für Dienstanbieter?

Um eine ausreichende Überschneidung zwischen dem aktiven Signaturzertifikat des Dienstanbieters und dem neu ausgestellten Zertifikat zu ermöglichen, rotiert Citrix das Signaturzertifikat des Dienstanbieters etwa alle 11 Monate. Dadurch soll sichergestellt werden, dass Citrix Cloud-Kunden 30 Tage vor der Aktivierung des neuen Zertifikats ein gültiges Zertifikat zur Verfügung steht.

Was ist die Ankündigungsphase des SAML-Signaturzertifikats des Dienstanbieters?

Während der Ankündigungsphase sind die aktuellen und Ersatz-SAML-Signaturzertifikate in den Citrix Cloud-Metadaten vorhanden. Bis zum Rotationsdatum und -zeitpunkt kann nur das aktive Zertifikat zur Überprüfung der SAML-Anforderung verwendet werden. Dies ist das Datum und die Uhrzeit, die in den Citrix Cloud-E-Mails und Citrix Cloud-Konsolenbenachrichtigungen angegeben sind.

Wichtig:

Das Ablaufdatum des Signaturzertifikats ist nicht dasselbe wie das Aktivierungsdatum. Die Citrix- und IdP-Administratoren müssen auf das Aktivierungsdatum achten, NICHT auf das Ablaufdatum des Zertifikats. Das Citrix Cloud-Signaturzertifikat wird immer rotiert, bevor es abläuft.

Sie können die Anzeige sowie Datum und Uhrzeit der Aktivierung über diesen Link Rotationsplan überprüfen.

Datum und Uhrzeit werden als Unix-Epoch-Zeitstempel für jedes Ereignis im Rotationsprozess des Signaturzertifikats des Dienstanbieters bereitgestellt.

SAML-Rotationsplan

Verwenden Sie Epoch-Konverter um Unix-Epoch-Zeitstempel in ein lesbares Datums- und Zeitformat umzuwandeln.

SAML-Unix-Zeitstempel

Warum hat sich Citrix entschieden, ein selbstsigniertes Citrix Cloud SAML-Signaturzertifikat zu verwenden und nicht ein von einer öffentlichen Zertifizierungsstelle wie Digitcert signiertes Zertifikat?

Der Aussteller in der neuesten Version des SAML-Signaturzertifikats, das Sie in Ihre SAML-Anwendungen hochladen sollten, lautet jetzt “samlsigning.cloud.com, Citrix Systems Inc.” und nicht mehr eine öffentliche Zertifizierungsstelle wie Digicert. Die Verwendung selbstsignierter SP-Signaturzertifikate dient dazu, eine bekannte SAML-Sicherheitslücke bei extern ausgestellten Zertifikaten, die als “Silver SAML” bezeichnet wird, zu mindern.

Warum habe ich per E-Mail und in der Citrix Cloud-Konsole eine Benachrichtigung erhalten, dass das aktuelle Citrix Cloud SAML-Signaturzertifikat bald abläuft und ersetzt werden muss?

SAML-Anbieter (IdP) benötigen ein gültiges und aktuelles Zertifikat, um die Signatur eingehender SAML-Anfragen von Dienstanbietern wie Workspace und der Citrix Cloud-Konsole zu überprüfen. Citrix Cloud-Kunden, die SAML für Workspace oder die Citrix Cloud-Konsolenanmeldung verwenden, werden kontaktiert, um sie über eine bevorstehende Rotation des SAML-Signaturzertifikats zu informieren.

Citrix Cloud-Konsolenbenachrichtigung

Citrix Cloud-E-Mail-Benachrichtigung

Woher weiß ich, ob mein Citrix Cloud-Kunde von der Rotation der Citrix Cloud SAML-Signaturzertifikate betroffen ist oder nicht?

Dies betrifft Citrix Cloud-Kunden mit der folgenden SAML-Konfiguration.

  • Ihre SAML-Verbindung innerhalb von Citrix Cloud ist mit Authentifizierungsanforderung signieren = Ja konfiguriert.
  • Sie haben Ihren SAML-Anbieter wie Azure Active Directory, ADFS oder Okta so konfiguriert, dass nicht signierte SAML-Anfragen abgelehnt werden (Signaturerzwingung).
  • Sie haben Single Logout (SLO) innerhalb Ihrer Citrix Cloud SAML-Verbindung und innerhalb Ihres SAML-Anbieters konfiguriert. SLO-Anfragen müssen im Rahmen bewährter Sicherheitsmethoden signiert werden.

Wie überprüfe ich die Signaturkonfiguration meiner Citrix Cloud SAML-Verbindung?

Navigieren Sie zu Identitäts- und Zugriffsverwaltung > SAML 2.0 > Anzeigen, um zu überprüfen, ob Authentifizierungsanforderung signieren in Ihrer Citrix Cloud SAML-Verbindung aktiviert ist. Alle neuen SAML-Verbindungen innerhalb von Citrix Cloud werden standardmäßig auf Identitätsanbvieter-Signierauthentifizierung/Anmeldeanforderungen = Ja sowohl für die Anmeldung (SSO) als auch für die Abmeldung (SLO) gesetzt.

IDP-Signaturauthentifizierungsanforderung

IDP-Signaturabmeldungsanforderung (SLO)

Wie überprüfe ich, ob die Signaturerzwingung in meiner SAML-App konfiguriert ist?

Dies variiert je nach verwendetem SAML-Anbieter. Alle von Citrix dokumentierten SAML-Lösungen umfassen Schritte zum Aktivieren der Signaturerzwingung als Teil der bewährten Sicherheitspraxis.

Beispiel für die Durchsetzung der EntraID-Signatur:

SAML-Entraid-Beispiel für die Durchsetzung der Signatur

Beispiel für die Okta-Signaturdurchsetzung:

SAML Okta-Beispiel für die Durchsetzung der Signatur

Wo erhalte ich eine Kopie des neuesten Signaturzertifikats des Service Providers (SP)?

Dieses Zertifikat wird von Citrix über die SAML-Metadaten der Citrix Cloud bereitgestellt und während der Ankündigungsphase der Rotation des SP-Signaturzertifikats regelmäßig aktualisiert. Dies geschieht mindestens einmal pro Kalenderjahr.

USA, EU und APS: https://saml.cloud.com/saml/metadata

JP: https://saml.citrixcloud.jp/saml/

GOV: https://saml.cloud.us/saml/metadata

Wann kann ich das alte Citrix Cloud SAML-Signaturzertifikat sicher entfernen, wenn meine SAML-App mehrere Verifizierungszertifikate unterstützt?

Entfernen Sie das alte Citrix Cloud-Signaturzertifikat erst nach dem in der E-Mail und der Citrix Cloud-Konsolenbenachrichtigung angegebenen Datum und Zeitpunkt der Zertifikataktivierung aus Ihren SAML-Anwendungen. Einige SAML-IdPs wie Okta erlauben jeweils nur das Hochladen eines Signaturzertifikats. In dieser Situation bleibt keine andere Wahl, als das aktuelle Zertifikat nach dem Aktivierungsdatum und der Aktivierungszeit durch das neue zu überschreiben. Dies sollte nicht vor dem Aktivierungsdatum und der Aktivierungszeit erfolgen.

Verwenden Sie den Metadatenaustausch, um den SAML-Anbieter automatisch mit dem neuesten Citrix Cloud SP SAML-Signaturzertifikat zu aktualisieren

Mit dem SAML-Metadatenaustausch nutzt der SAML-Anbieter die Citrix Cloud SAML-Metadaten automatisch, indem er die Metadaten-URL überwacht, z. B. https://saml.cloud.com/saml/metadata. Wenn Ihr SAML-Anbieter den SAML-Metadatenaustausch unterstützt, wird das SP-Signaturzertifikat möglicherweise bereits automatisch aktualisiert. Achten Sie darauf, dass Ihr SAML-Anbieter den Metadatenaustausch unterstützt. Anschließend können Sie überprüfen, ob die Aktualisierung vor Ablauf des aktuellen SAML-Signaturzertifikats erfolgt ist.

Citrix Cloud SP SAML-Signaturzertifikat

Wichtig

Es gibt große Unterschiede hinsichtlich der SAML-Features, die jeder SAML-Drittanbieter unterstützt. Es liegt in der Verantwortung des Citrix Cloud-Administrators, die Funktionen und Anforderungen des von Ihnen verwendeten SAML-Anbieters zu kennen und zu verstehen. Dies ist erforderlich, um sicherzustellen, dass sowohl die Citrix Cloud SAML-Verbindungskonfiguration (SP) als auch die SAML-Providerkonfiguration (IdP) übereinstimmen. Informieren Sie sich in der Dokumentation Ihres SAML-Anbieters, ob dieser die Signaturüberprüfung unterstützt und ob SAML-Anfragen und -Antworten signiert werden müssen.

Manuelles Aktualisieren des SAML-Anbieters mit dem neuesten Citrix Cloud SP SAML-Signaturzertifikat

Wichtig

Die SP-Zertifikatrotation muss jedes Mal durchgeführt werden, wenn ein neues Zertifikat aus Citrix Cloud veröffentlicht wird. Andernfalls wird die SAML-Anmeldung beeinträchtigt und es kommt zu Ausfallzeiten.

  1. Rufen Sie die neuesten SAML-Metadaten von Citrix Cloud ab, indem Sie Ihre aktuelle SAML-Verbindung in Identitäts- und Zugriffsverwaltung anzeigen, auf Authentifizierung klicken, SAML-Verbindung auswählen und auf Anzeigen klicken. Die folgende Abbildung ist ein Beispiel dafür, wie diese Datei für Citrix Cloud-Regionen wie USA, EU und APS aussehen könnte:

    https://saml.cloud.com/saml/metadata

    Beispiel für eine XML-Metadatendatei

    In diesem Beispiel einer XML-Metadatendatei gibt es zwei x.509 Citrix Cloud SAML-Signaturzertifikate.

  2. Es ist möglich, das x.509-Zertifikat aus den Metadaten zu extrahieren, indem Sie die XML-Datei in ein Drittanbietertool hochladen oder die Metadaten-URL angeben.
  3. Navigieren Sie zu https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract

  4. Geben Sie die SAML-Metadaten-URL ein, die Ihrer Citrix Cloud-Kundenregion entspricht:

    Metadaten-Zertifikatsauszug

    Laden Sie das SAML-Signaturzertifikat von https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract herunter.

    Metadaten-Zertifikatsauszug

  5. Laden Sie das neu extrahierte Citrix Cloud SP SAML-Zertifikat zu Ihrem SAML-Anbieter hoch. Dieser Prozess ist für jeden SAML-Anbieter anders. Überprüfen Sie das richtige Rotationsverfahren für SP-Signaturzertifikate anhand der Dokumentation Ihres spezifischen SAML-Anbieters.

    Abhängig von Ihrem SAML-Anbieter muss das vorhandene SAML-Signaturzertifikat möglicherweise durch das neue ersetzt werden. In einigen Fällen unterstützt der SAML-Anbieter möglicherweise mehrere SP-Signaturzertifikate gleichzeitig, sodass es ausreicht, nur das neue hochzuladen. Es wird empfohlen, das alte Zertifikat zu entfernen, sobald es abgelaufen ist.

Laden Sie ein Ersatz-SAML-Signaturzertifikat für Citrix Cloud in Ihre Azure Active Directory SAML-Anwendung hoch

Bevor Sie die Azure Active Directory SAML-App konfigurieren, lesen Sie SAML-Anforderungssignaturüberprüfung, um weitere Informationen zu erhalten.

  1. Navigieren Sie zu Azure Active Directory, wählen Sie Unternehmensanwendungen aus und klicken Sie auf Ihre SAML-App.

  2. Suchen Sie den Abschnitt “SAML-Zertifikate” innerhalb der SAML-Anwendung.

    SAML SSO-Produktion

  3. Wählen Sie Zertifikat hochladen und laden Sie das aus den SAML-Metadaten erhaltene Ersatz-SAML-Signaturzertifikat von Citrix Cloud hoch.

    Prüfzertifikate

Hinweis:

Für Azure Active Directory SAML-Apps können mehrere Signaturüberprüfungszertifikate konfiguriert werden, sodass es möglich ist, lange vor Ablauf des aktuellen Zertifikats ein Ersatzzertifikat hochzuladen. Der folgende Screenshot zeigt zwei gültige Zertifikate. Eines der Zertifikate läuft in Kürze ab. Vorausgesetzt, mindestens eines der hochgeladenen Zertifikate ist gültig und noch nicht abgelaufen, ist eine SAML-Anmeldung bei Citrix Workspace und Citrix Cloud weiterhin erfolgreich und es kommt zu keinem Ausfall.

Verifizierungszertifikat

Wichtig:

Entfernen Sie das vorhandene Verifizierungszertifikat erst, wenn das in der E-Mail und der Citrix Cloud-Konsolenbenachrichtigung angegebene Datum und die Uhrzeit der SAML-Rotation verstrichen sind. Das neue Citrix Cloud-Zertifikat wird erst an dem in diesen beiden Benachrichtigungen angegebenen Datum und zu der angegebenen Uhrzeit aktiv.

Ersatz-SAML-Signaturzertifikat für Citrix Cloud in Ihre Okta SAML-Anwendung hochladen

Okta unterstützt nicht mehrere SP SAML-Signaturzertifikate gleichzeitig. Sie haben keine andere Wahl, als das vorhandene Citrix Cloud SP-Signaturzertifikat, das Sie derzeit verwenden, durch das neue zu überschreiben. Es wird empfohlen, dies in einem geplanten Wartungsfenster zu tun.

  1. Navigieren Sie zu Anwendungen, wählen Sie Anwendungen und suchen Sie nach Ihrer Okta SAML-App.

    Okta SAML-Anwendung suchen

  2. Navigieren Sie von Allgemein zu SAML-Einstellungen, klicken Sie auf Bearbeiten, wählen Sie SAML konfigurieren, wählen Sie Erweiterte Einstellungen anzeigen und klicken Sie auf Signaturzertifikat, um einen Ersatz hochzuladen. Okta zeigt das aktuelle Citrix Cloud SAML-Signaturzertifikat nicht in der Upload-Benutzeroberfläche an. Erst nach dem Hochladen wird das Ersatzzertifikat angezeigt.

    Signaturzertifikat

  3. Wählen Sie Signaturzertifikat aus, klicken Sie auf Dateien durchsuchen und laden Sie das Ersatzsignaturzertifikat von Citrix Cloud SAML hoch, das Sie aus den Citrix Cloud SAML-Metadaten erhalten haben.

    Signaturzertifikat

Wichtig

Überschreiben Sie das vorhandene Verifizierungszertifikat nicht bis zum SAML-Rotationsdatum und der SAML-Rotationszeit, die in der E-Mail und der Citrix Cloud-Konsolenbenachrichtigung angegeben sind. Das neue Citrix Cloud-Zertifikat wird erst an dem in diesen beiden Benachrichtigungen angegebenen Datum und zu der angegebenen Uhrzeit aktiv.

SAML-Signaturzertifikat des Dienstanbieters aktualisieren
April 10, 2025
Author:  Mark Dear
April 10, 2025
Author:  Mark Dear

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.