Documentación de productos
Citrix Cloud

Actualizar el certificado de firma SAML del proveedor de servicios

April 10, 2025
Author:  Mark Dear

Las conexiones SAML que usan solicitudes y respuestas firmadas dependen de dos certificados de firma SAML diferentes. Uno para cada lado de la conexión SAML.

Certificado de firma del proveedor de servicios

Citrix proporciona este certificado a través de los metadatos SAML de Citrix Cloud y se actualiza durante la fase de anuncio de la rotación de certificados de firma del SP. Esto ocurre al menos una vez por año natural.

Los certificados de firma de SAML deben rotarse antes de que caduquen para que los administradores de Citrix Cloud tengan tiempo de prepararse para la implementación. Tanto los proveedores de servicios como los proveedores de identidades exigen la rotación de certificados para garantizar la alineación y evitar cualquier tiempo de inactividad.

Si un proveedor de SAML seleccionado no admite la rotación automática del certificado de firma de SAML del proveedor de servicios, se debe realizar una rotación manual para reemplazar el certificado que vence.

Importante:

Todas las guías existentes en esta sección de documentos electrónicos de SAML incluyen detalles sobre cómo configurar la firma en ambos lados de la conexión SAML. Citrix solo recomienda configuraciones de SAML firmadas, ya que son más seguras y algunos proveedores de SAML las requieren para cerrar sesión (SLO) correctamente.

Preguntas frecuentes

¿Qué es la firma SAML?

El protocolo SAML usa mensajes para solicitar autenticación y enviar aserciones de identidad. La seguridad de estos mensajes depende tanto de la seguridad en el nivel de transporte y como en el nivel del propio mensaje. Los mensajes son documentos XML que se firman de acuerdo con la sintaxis de firma XML. Esto proporciona no solo la garantía de integridad del mensaje, sino también la autenticación del remitente al demostrar que posee la clave privada. El modelo de confianza se describe en el documento SAML Security and Privacy Considerations. Las claves públicas usadas para definir qué claves privadas son de confianza se pueden distribuir en cualquier formato pertinente. Citrix usa certificados X.509 como contenedores adecuados para la distribución y el uso de claves.

¿Qué es la aplicación de solicitudes firmadas con SAML?

El hecho de que Citrix Cloud esté configurado para enviar solicitudes firmadas dentro de la conexión SAML no garantiza que el proveedor de SAML imponga el uso de firmas ni rechace las solicitudes de SAML entrantes sin firmar. La mayoría de los IdP de SAML tienen una opción para exigir solicitudes firmadas. Si se recibe una solicitud sin firmar para iniciar sesión en el proveedor de SAML, el inicio de sesión de SAML fallará. Algunos IdP de SAML como Duo ni siquiera ofrecen esta opción. Es responsabilidad del administrador del IdP de SAML comprobar el estado de la configuración del IdP de SAML. La asistencia técnica de Citrix no controla ni tiene ninguna visibilidad sobre si las solicitudes firmadas se exigen en la aplicación SAML.

¿Con qué frecuencia rota Citrix el certificado de firma SAML del proveedor de servicios?

Para permitir una superposición suficiente entre el certificado de firma del proveedor de servicios activo y el recién emitido, Citrix rota el certificado de firma del proveedor de servicios aproximadamente cada 11 meses. Esto sirve para garantizar que haya un certificado válido disponible para los clientes de Citrix Cloud 30 días antes de que tenga que activarse el nuevo certificado.

¿Qué es la fase de anuncio del certificado de firma SAML del proveedor de servicios?

Durante la fase de anuncio, los certificados de firma SAML actual y de reemplazo estarán presentes en los metadatos de Citrix Cloud. Hasta la fecha y hora de rotación, solo se puede usar el certificado activo para la verificación de solicitudes SAML. Estas son la fecha y la hora especificadas en los correos electrónicos de Citrix Cloud y las notificaciones de la consola de Citrix Cloud.

Importante:

La fecha de caducidad del certificado de firma no es la misma que la fecha de activación. Es la fecha de activación a la que los administradores de Citrix e IdP deben prestar atención, NO a la fecha de caducidad del certificado. El certificado de firma de Citrix Cloud siempre se rotará antes de que caduque.

Puede consultar la fecha y hora de anuncio y de activación en este enlace: Plan de rotación.

La fecha y la hora se proporcionan como marcas de hora de Tiempo Unix para cada evento en el proceso de rotación de certificados de firma del proveedor de servicios.

Plan de rotación de SAML

Use el convertidor de Tiempo Unix para convertir las marcas de hora de Tiempo Unix a un formato de fecha y hora de lectura humana.

Marca de hora Unix de SAML

¿Por qué decidió Citrix usar un certificado de firma SAML de Citrix Cloud autofirmado en lugar de un certificado firmado por una entidad de certificación pública como Digitcert?

El emisor: En la última versión del certificado de firma SAML que debe cargar en sus aplicaciones SAML, ahora es “samlsigning.cloud.com, Citrix Systems Inc.” en lugar de una entidad de certificación pública como Digicert. El uso de certificados de firma de SP autofirmados tiene como objetivo mitigar una vulnerabilidad de SAML conocida con los certificados emitidos externamente, denominada “Silver SAML”.

¿Por qué he recibido una notificación por correo electrónico y en la consola de Citrix Cloud que indica que el certificado de firma SAML actual de Citrix Cloud está a punto de caducar y debe sustituirse?

Los proveedores de SAML (IdP) requieren un certificado válido y actualizado para verificar la firma de las solicitudes SAML entrantes de los proveedores de servicios, como Workspace y la consola de Citrix Cloud. Contactaremos con los clientes de Citrix Cloud que usen SAML para iniciar sesión en Workspace o en la consola de Citrix Cloud para informarles de una rotación inminente de los certificados de firma SAML.

Notificación en la consola de Citrix Cloud

Notificación por correo electrónico de Citrix Cloud

¿Cómo puedo saber si mi cliente de Citrix Cloud se ve afectado por la rotación de certificados de firma SAML de Citrix Cloud o no?

Esto afectará a los clientes de Citrix Cloud con la siguiente configuración de SAML.

  • Su conexión SAML en Citrix Cloud está configurada con Firmar solicitud de autenticación = Sí
  • Ha configurado su proveedor de SAML, como Azure Active Directory, ADFS u Okta, para rechazar las solicitudes SAML sin firmar (uso obligado de firma).
  • Tiene el cierre de sesión único (SLO) configurado en su conexión SAML de Citrix Cloud y en su proveedor de SAML. Las solicitudes de SLO deben firmarse como parte de las prácticas recomendadas de seguridad.

¿Cómo compruebo la configuración de firma de mi conexión SAML de Citrix Cloud?

Vaya a Administración de acceso e identidad > SAML 2.0 > Ver para comprobar si tiene Solicitudes de autenticación de firma habilitadas dentro de su conexión SAML de Citrix Cloud. Todas las conexiones SAML nuevas en Citrix Cloud tendrán el valor predeterminado Solicitud de cierre de sesión/autenticación de firma del proveedor de identidades = Sí, tanto para el inicio de sesión (SSO) como para el cierre de sesión (SLO).

Solicitud de autenticación de firma del proveedor de identidades

Solicitud de cierre de sesión (SLO) de firma del proveedor de identidades

¿Cómo compruebo si el uso obligado de firma está configurado en mi aplicación SAML?

Esto varía en función del proveedor de SAML que use. Todas las soluciones SAML documentadas por Citrix incluyen pasos para habilitar la obligación de firma como parte de las prácticas recomendadas de seguridad.

Ejemplo de uso obligado de firma de EntraID:

Ejemplo de uso obligado de firma de SAML EntraId

Ejemplo de uso obligado de firma de Okta:

Ejemplo de uso obligado de firma de SAML Okta

¿Dónde puedo obtener una copia del certificado de firma del proveedor de servicios (SP) más reciente?

Citrix proporciona este certificado a través de los metadatos de SAML de Citrix Cloud y se actualiza periódicamente durante la fase de anuncio de la rotación de certificados de firma del SP. Esto ocurre al menos una vez por año natural.

EE. UU., UE y APS: https://saml.cloud.com/saml/metadata

Japón: https://saml.citrixcloud.jp/saml/

GOV: https://saml.cloud.us/saml/metadata

¿Cuándo es seguro quitar el antiguo certificado de firma SAML de Citrix Cloud si mi aplicación SAML admite varios certificados de verificación?

Quite el antiguo certificado de firma de Citrix Cloud de sus aplicaciones SAML solo después de la fecha y hora de activación del certificado indicadas en el correo electrónico y en la notificación de la consola de Citrix Cloud. Algunos IdP de SAML, como Okta, solo permiten cargar un certificado de firma a la vez. En este caso, no queda otra opción que sobrescribir el certificado actual con el nuevo después de la fecha y hora de activación. Esto no debe hacerse antes de la fecha y hora de activación.

Usar el intercambio de metadatos para actualizar automáticamente el proveedor de SAML con el certificado de firma SAML más reciente del proveedor de servicios (SP) de Citrix Cloud

Mediante el intercambio de metadatos de SAML, el proveedor de SAML consume los metadatos de SAML de Citrix Cloud automáticamente al supervisar la URL de los metadatos, como https://saml.cloud.com/saml/metadata. Si su proveedor de SAML admite el intercambio de metadatos de SAML, es posible que el certificado de firma del SP ya se haya actualizado automáticamente. Verifique que su proveedor de SAML admite el intercambio de metadatos. Después, puede verificar si la actualización ha tenido lugar antes de que caduque el certificado de firma SAML actual.

Certificado de firma SAML del SP de Citrix Cloud

Importante

Hay una gran variación en términos de las funciones de SAML que admite cada proveedor de SAML externo. Es responsabilidad del administrador de Citrix Cloud conocer y comprender las capacidades y los requisitos del proveedor de SAML usado. Esto es necesario para garantizar que la configuración del proveedor de SAML (proveedor de identidades) y la configuración de conexión SAML (proveedor de servicios) de Citrix Cloud coincidan. Consulte la documentación de su proveedor de SAML para determinar si admite la verificación de firmas y si las solicitudes y respuestas de SAML deben firmarse.

Actualizar manualmente el proveedor de SAML con el certificado de firma SAML más reciente del proveedor de servicios de Citrix Cloud

Importante

La rotación del certificado del proveedor de servicios se debe realizar cada vez que se publique un nuevo certificado desde Citrix Cloud; de lo contrario, el inicio de sesión de SAML se verá afectado y se producirá un tiempo de inactividad.

  1. Para adquirir los metadatos de SAML más recientes de Citrix Cloud, consulte su conexión SAML actual en Administración de acceso e identidad, haga clic en Autenticación, seleccione Conexión SAML y haga clic en Ver. La siguiente imagen es un ejemplo del aspecto que podría tener este archivo en regiones de Citrix Cloud como EE. UU., UE y APS:

    https://saml.cloud.com/saml/metadata

    Ejemplo de archivo XML de metadatos

    En este ejemplo de archivo XML de metadatos, hay dos certificados de firma SAML x.509 de Citrix Cloud.

  2. Es posible extraer el certificado x.509 de los metadatos cargando el archivo XML en una herramienta de terceros o proporcionando la URL de los metadatos.
  3. Vaya a https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract

  4. Introduzca la URL de metadatos de SAML correspondiente a la región de su cliente de Citrix Cloud:

    Extracto de certificado de metadatos

    Descargue el certificado de firma SAML desde https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract.

    Extracto de certificado de metadatos

  5. Cargue el certificado SAML del proveedor de servicios de Citrix Cloud recién extraído en su proveedor de SAML. Este proceso será diferente para cada proveedor de SAML. Verifique que el procedimiento de rotación de certificados de firma del proveedor de servicios es correcto. Para ello, consulte la documentación específica de su proveedor de SAML.

    En función del proveedor de SAML, es posible que sea necesario reemplazar el certificado de firma de SAML existente por uno nuevo. En algunos casos, el proveedor de SAML puede admitir varios certificados de firma de SP al mismo tiempo, por lo que solo bastará con cargar el nuevo. Se recomienda quitar el certificado antiguo una vez que haya caducado.

Cargar un certificado de firma SAML de Citrix Cloud de reemplazo en su aplicación SAML de Azure Active Directory

Antes de configurar la aplicación SAML de Azure Active Directory, consulte SAML Request Signature Verification para obtener más información.

  1. Vaya a Azure Active Directory, seleccione Enterprise Applications y haga clic en su aplicación SAML.

  2. Busque la sección de certificados SAML dentro de la aplicación SAML.

    Producción de SSO con SAML

  3. Seleccione Upload Certificate y cargue el certificado de firma SAML de Citrix Cloud de reemplazo obtenido de los metadatos de SAML.

    Certificados de verificación

Nota:

Las aplicaciones SAML de Azure Active Directory pueden tener configurados varios certificados de verificación de firma para que sea posible cargar un certificado de reemplazo mucho antes de que caduque el certificado actual. La siguiente captura de pantalla muestra dos certificados válidos. Uno de los certificados caducará en un futuro próximo. Siempre que al menos uno de los certificados cargados sea válido y no haya caducado, el inicio de sesión con SAML en Citrix Workspace y Citrix Cloud seguirá funcionando correctamente y no se producirá ninguna interrupción.

Certificado de verificación

Importante:

No quite el certificado de verificación existente hasta que hayan pasado la fecha y la hora de rotación de SAML indicadas en el correo electrónico y en la notificación de la consola de Citrix Cloud. El nuevo certificado de Citrix Cloud se activa solo en la fecha y la hora indicadas en esas dos notificaciones.

Cargar un certificado de firma SAML de Citrix Cloud de reemplazo en su aplicación SAML de Okta

Okta no admite varios certificados de firma SAML de proveedor de servicios (SP) al mismo tiempo. No tiene más opción que sobrescribir el certificado de firma de SP de Citrix Cloud que utiliza actualmente con el nuevo. Se recomienda hacerlo en un período de mantenimiento programado.

  1. Vaya a Applications, seleccione Applications y busque su aplicación SAML de Okta

    Buscar la aplicación SAML de Okta

  2. En General, vaya a SAML Settings, haga clic en Edit, seleccione Configure SAML, seleccione Show Advanced Settings y haga clic en Signature Certificate para cargar el certificado de reemplazo. Okta no muestra el certificado de firma SAML de Citrix Cloud actual en la interfaz de usuario de carga. Solo mostrará el certificado de reemplazo una vez que se haya cargado.

    Certificado de firma

  3. Seleccione Signature Certificate, haga clic en Browse Files y cargue el certificado de firma SAML de Citrix Cloud de reemplazo obtenido de los metadatos de SAML de Citrix Cloud.

    Certificado de firma

Importante

No sobrescriba el certificado de verificación existente hasta la fecha y la hora de rotación de SAML indicadas en el correo electrónico y en la notificación de la consola de Citrix Cloud. El nuevo certificado de Citrix Cloud solo se activa en la fecha y la hora indicadas en esas dos notificaciones.

Actualizar el certificado de firma SAML del proveedor de servicios
April 10, 2025
Author:  Mark Dear
April 10, 2025
Author:  Mark Dear

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.