更新服务提供商 SAML 签名证书
使用签名请求和响应的 SAML 连接依赖于两个不同的 SAML 签名证书。 SAML 连接的每一侧各一个。
服务提供商签名证书
此证书由 Citrix 通过 Citrix Cloud SAML 元数据提供,并在 SP 签名证书轮换的广告阶段进行更新。 这种情况每年至少发生一次。
SAML 签名证书需要在到期之前进行轮换,以便 Citrix Cloud 管理员有时间准备部署。 服务提供商和身份提供商都要求轮换证书,以确保一致性并防止任何停机。
如果选定的 SAML 提供商不支持 SP SAML 签名证书的自动轮换,则必须在 SAML 提供商内手动轮换 SAML 签名证书以替换即将到期的证书。
重要:
此 SAML eDoc 部分中的所有现有指南都包含有关如何在 SAML 连接两端配置签名的详细信息。 Citrix 只推荐签名的 SAML 配置,因为这些配置更安全,而且某些 SAML 提供商要求这些配置才能成功注销 (SLO)。
常问问题
什么是 SAML 签名
SAML 协议使用消息来请求身份验证并发送身份断言。 这些消息的安全性取决于传输和消息级别的安全性。 这些消息是根据 XML 签名语法进行签名的 XML 文档。 这既提供了消息的完整性保证,也通过证明发送者持有私钥提供了对发送者的身份认证。 信任模型描述如下: SAML 安全和隐私注意事项。 用于定义哪些私钥是可信的公钥可以以任何合适的格式分发。 Citrix 使用 X.509 证书作为合适的容器来分发和使用密钥。
什么是 SAML 签名请求的执行
仅仅因为 Citrix Cloud 配置为在 SAML 连接内发送签名的请求,这并不能保证 SAML 提供商将强制使用签名并拒绝任何未签名的传入 SAML 请求。 大多数 SAML IdP 都有强制执行签名请求的选项。 如果收到未签名的登录 SAML 提供商的请求,则 SAML 登录将失败。 一些 SAML IdP(例如 Duo)甚至不提供此选项。 SAML IdP 管理员有责任检查 SAML IdP 配置的状态。 Citrix 支持部门无法控制也无法查看是否在您的 SAML 应用程序中强制执行签名请求。
Citrix 多久轮换一次其服务提供商 SAML 签名证书
为了允许有效的服务提供商签名证书和新颁发的签名证书之间有足够的重叠之处,Citrix 大约每 11 个月轮换一次服务提供商签名证书。 这是为了确保在激活新证书前 30 天内 Citrix Cloud 客户可以获得有效证书。
什么是服务提供商 SAML 签名证书广告阶段
在广告阶段,当前和替换的 SAML 签名证书将出现在 Citrix Cloud 元数据中。 在轮换日期和时间之前,只有有效的证书可以用于 SAML 请求验证。 这是 Citrix Cloud 电子邮件和 Citrix Cloud 控制台通知中指定的日期和时间。
重要:
签名证书到期日期与激活日期不同。 Citrix 和 IdP 管理员需要注意的是激活日期,而不是证书到期日期。 Citrix Cloud 签名证书在过期之前将始终进行轮换。
您可以使用此链接 轮换计划查看广告和激活日期和时间。
服务提供商签名证书轮换过程中每个事件的日期和时间均以 Unix 纪元时间戳的形式提供。
使用 纪元转换器 将 unix 纪元时间戳转换为人类可读的日期和时间格式。
为什么 Citrix 决定使用自签名的 Citrix Cloud SAML 签名证书而不是由 Digitcert 等公共证书颁发机构签名的证书
发行者:在最新版本的 SAML 签名证书中,您应该上传到 SAML 应用程序中,现在是“samlsigning.cloud.com,Citrix Systems Inc.”,而不是 Digicert 这样的公共证书颁发机构。 使用自签名 SP 签名证书是为了缓解外部颁发证书(称为“Silver SAML”)的已知 SAML 漏洞。
为什么我通过电子邮件和 Citrix Cloud 控制台收到通知,表明当前 Citrix Cloud SAML 签名证书即将过期且必须更换
SAML 提供商 (IdP) 需要有效且在日期内的证书来验证来自服务提供商(例如 Workspace 和 Citrix Cloud 控制台)的传入 SAML 请求的签名。 将联系使用 SAML for Workspace 或 Citrix Cloud 控制台登录的 Citrix Cloud 客户,告知他们即将进行 SAML 签名证书轮换。
如何知道我的 Citrix Cloud 客户是否受到 Citrix Cloud SAML 签名证书轮换的影响
这将影响使用以下 SAML 配置的 Citrix Cloud 客户。
- 您在 Citrix Cloud 中的 SAML 连接配置为使用签名身份验证请求 = 是
- 您已将 SAML 提供程序(例如 Azure Active Directory、ADFS 或 Okta)配置为拒绝未签名的 SAML 请求(强制签名)。
- 您在 Citrix Cloud SAML 连接和 SAML 提供商中配置了单点注销 (SLO)。 SLO 请求需要作为安全最佳实践的一部分进行签名。
如何检查我的 Citrix Cloud SAML 连接的签名配置
导航到身份识别和访问管理 > SAML 2.0 > 查看,检查您是否在 Citrix Cloud SAML 连接中启用了签名身份验证请求。 对于登录 (SSO) 和注销 (SLO),Citrix Cloud 中所有新的 SAML 连接都将默认为身份提供商签名身份验证/注销请求 = 是。
如何检查我的 SAML 应用程序中是否配置了强制签名
这因您使用的 SAML 提供商而异。 所有 Citrix 记录的 SAML 解决方案都包含启用签名强制执行的步骤作为安全最佳实践的一部分。
EntraID 签名执行示例:
Okta 签名执行示例:
在哪里可以获得最新的服务提供商 (SP) 签名证书的副本
该证书由 Citrix 通过 Citrix Cloud SAML 元数据提供,并在 SP 签名证书轮换的广告阶段定期更新。 这种情况每年至少发生一次。
美国、欧盟和亚太南部:https://saml.cloud.com/saml/metadata
JP:https://saml.citrixcloud.jp/saml/
GOV:https://saml.cloud.us/saml/metadata
如果我的 SAML 应用程序支持多个验证证书,何时可以安全地删除旧的 Citrix Cloud SAML 签名证书
仅在电子邮件和 Citrix Cloud 控制台通知中给出的证书激活日期和时间之后从 SAML 应用程序中删除旧的 Citrix Cloud 签名证书。 一些 SAML IdP(例如 Okta)只允许一次上传一个签名证书。 在这种情况下,只能在激活日期和时间之后用新证书覆盖当前证书。 这不应在激活日期和时间之前完成。
使用元数据交换使用最新的 Citrix Cloud SP SAML 签名证书自动更新 SAML 提供商
使用 SAML 元数据交换,SAML 提供商通过监视元数据 URL 来自动使用 Citrix Cloud SAML 元数据,例如 https://saml.cloud.com/saml/metadata。 如果您的 SAML 提供商支持 SAML 元数据交换,则 SP 签名证书可能已经自动更新。 确认您的 SAML 提供商支持元数据交换。 之后,您可以验证更新是否在当前 SAML 签名证书到期之前发生。
重要的
每个第三方 SAML 提供商支持的 SAML 功能存在很大差异。 Citrix Cloud 管理员有责任了解和了解您正在使用的 SAML 提供商的功能和要求。 这是确保 Citrix Cloud SAML 连接配置 (SP) 和 SAML 提供商 (IdP) 配置匹配所必需的。 请参阅您的 SAML 提供商的文档,以确定其是否支持签名验证以及是否需要对 SAML 请求和响应进行签名。
使用最新的 Citrix Cloud SP SAML 签名证书手动更新 SAML 提供商
重要的
每次从 Citrix Cloud 发布新证书时都必须轮换 SP 证书,否则 SAML 登录将受到影响,您将面临停机。
-
在身份识别和访问管理中查看当前 SAML 连接,从 Citrix Cloud 获取最新的 SAML 元数据,单击“身份验证”,选择“SAML 连接”,然后单击“查看”。 下图是该文件在 Citrix Cloud 地区(例如美国、欧盟和亚太南部)的外观示例:
https://saml.cloud.com/saml/metadata
在此元数据 XML 文件示例中,有两个 x.509 Citrix Cloud SAML 签名证书。
- 可以通过将 XML 文件上传到第三方工具或提供元数据 URL 从元数据中提取 x.509 证书。
- 导航到 https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract
-
输入与您的 Citrix Cloud 客户区域相对应的 SAML 元数据 URL:
- 美国、欧盟和亚太南部:https://saml.cloud.com/saml/metadata
- JP:https://saml.citrixcloud.jp/saml/metadata
- GOV:https://saml.cloud.us/saml/metadata
从 https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract 下载 SAML 签名证书。
-
将新提取的 Citrix Cloud SP SAML 证书上载到您的 SAML 提供商。 对于每个 SAML 提供商,此过程将有所不同。 使用特定的 SAML 提供商文档,验证正确的 SP 签名证书轮换程序。
视您的 SAML 提供商而定,可能需要用新的 SAML 签名证书替换现有的 SAML 签名证书。 在某些情况下,SAML 提供商可能同时支持多个 SP 签名证书,因此仅上载新的 SP 签名证书就足够了。 建议您在旧证书过期后将其删除。
将替换的 Citrix Cloud SAML 签名证书上载到您的 Azure Active Directory SAML 应用程序
在配置 Azure Active Directory SAML 应用程序之前,请参阅 SAML 请求签名验证以了解更多信息。
- 导航到 Azure Active Directory,选择“企业应用程序”,然后单击“您的 SAML 应用程序”。
-
在 SAML 应用程序中找到 SAML 证书部分。
-
选择上载证书,然后上载从 SAML 元数据中获得的替换 Citrix Cloud SAML 签名证书。
注意:
Azure Active Directory SAML 应用程序可以配置多个签名验证证书,因此可以在当前证书到期之前很久就上载替换证书。 以下屏幕截图显示了两个有效的证书。 其中一份证书将在不久的将来过期。 只要上载的证书中至少有一个有效且尚未过期,将继续通过 SAML 登录 Citrix Workspace 和 Citrix Cloud,并且不会出现中断的情况。
重要:
在电子邮件和 Citrix Cloud 控制台通知中给出的 SAML 轮换日期和时间过去之前,请勿删除现有的验证证书。 新的 Citrix Cloud 证书仅在这两份通知中给出的日期和时间生效。
将替换的 Citrix Cloud SAML 签名证书上载到您的 Okta SAML 应用程序
Okta 不支持同时支持多个 SP SAML 签名证书。 您别无选择,只能用新证书覆盖您目前正在使用的现有 Citrix Cloud SP 签名证书。 建议您在定期维护时段内执行此操作。
-
导航到“应用程序”,选择“应用程序”,然后搜索您的 Okta SAML 应用程序
-
在“常规”中,导航到“SAML 设置”,单击“编辑”,选择“配置 SAML”,选择“显示高级设置”,然后单击“签名证书”以上载替代证书。 Okta 不在上载用户界面中显示当前 Citrix Cloud SAML 签名证书。 它只会在上载后显示替换证书。
-
选择签名证书,单击“浏览文件”,然后上载从 Citrix Cloud SAML 元数据中获得的替换 Citrix Cloud SAML 签名证书。
重要的
在电子邮件和 Citrix Cloud 控制台通知中给出的 SAML 轮换日期和时间之前,请勿覆盖现有的验证证书。 新的 Citrix Cloud 证书仅在这两份通知中给出的日期和时间生效。