Preguntas más frecuentes sobre los certificados de administración de aplicaciones

Esta página responde a las preguntas frecuentes sobre la administración de certificados para aplicaciones que utilizan Microsoft Entra ID como proveedor de identidad (IdP).

¿Hay alguna manera de generar una lista de los certificados de firma de SAML que van a expirar?

Puede exportar todas las aplicaciones con secretos y certificados que van a expirar y sus propietarios para las aplicaciones especificadas desde el directorio a un archivo CSV mediante los scripts de PowerShell.

¿Dónde puedo encontrar la información sobre los pasos de renovación de los certificados que expirarán pronto?

Puede encontrar los pasos aquí.

¿Cómo puedo personalizar la fecha de expiración de los certificados que emitió Microsoft Entra ID?

De forma predeterminada, Microsoft Entra ID configura un certificado para que expire después de tres años después de crearse automáticamente durante la configuración del inicio de sesión único de SAML. Dado que no se puede cambiar la fecha de un certificado después de guardarlo, tendrá que crear un certificado nuevo. Para ver qué pasos tiene que dar para hacerlo, consulte Personalización de la fecha de expiración para el certificado de federación y sustituirlo por un certificado nuevo.

¿Cómo puedo automatizar las notificaciones de expiración de los certificados?

Microsoft Entra ID envía una notificación por correo electrónico 60, 30 y 7 días antes de que expire el certificado SAML. Puede agregar varias direcciones de correo electrónico para recibir notificaciones.

Para especificar los correos electrónicos a los que quiere que se envíen las notificaciones, consulte Inclusión de direcciones de correo electrónico para notificar la expiración del certificado.

La opción para editar o personalizar estas notificaciones de correo electrónico recibidas de [email protected] no existe. Sin embargo, puede exportar los registros de aplicaciones con secretos y certificados que van a expirar a través de los scripts de PowerShell.

¿Quién puede actualizar los certificados?

Tanto el propietario de la aplicación como el administrador de aplicaciones pueden actualizar los certificados desde la IU del Centro de administración de Microsoft Entra UI, PowerShell o Microsoft Graph.

Necesito más detalles sobre las opciones de firma de certificados.

En Microsoft Entra ID, puede configurar las opciones de firma de certificado y el algoritmo correspondiente. Para obtener más información, consulte Opciones avanzadas de firma de certificados de token SAML para aplicaciones Microsoft Entra.

¿Qué tipo de certificado puedo usar para configurar el certificado SAML para el inicio de sesión único?

La recomendación para el certificado de inicio de sesión único de SAML depende de las directivas y los requisitos de seguridad de la organización. Si su organización tiene una entidad de certificación interna (PKI), el uso de un certificado de la PKI interna puede proporcionar un mayor nivel de seguridad y confianza. Si tiene una PKI interna, sus certificados ofrecen una mayor seguridad y confianza, ya que controla y supervisa.

Si su organización no gestiona su propia entidad de certificación, obtenga un certificado de una entidad de certificación pública, como por ejemplo DigiCert. Las organizaciones confían en estas entidades de certificación y siguen reglas estrictas de seguridad y validación para mantener las aplicaciones seguras.

Necesito reemplazar el certificado para las aplicaciones en Application Proxy de Microsoft Entra y necesito más instrucciones

Para reemplazar los certificados de las aplicaciones en Application Proxy de Microsoft Entra, consulte Muestra de PowerShell: Reemplazar el certificado en aplicaciones de Application Proxy.

¿Cómo administro los certificados de dominios personalizados en Application Proxy de Microsoft Entra?

Para configurar una aplicación local para que use un dominio personalizado, necesita un dominio personalizado de Microsoft Entra comprobado, un certificado PFX para dicho dominio y una aplicación local para configurar. Para obtener más información, consulte Dominios personalizados en Application Proxy de Microsoft Entra.

Necesito actualizar el certificado de firma de tokens en el lado de la aplicación. ¿Dónde puedo obtenerlo en Microsoft Entra ID?

Para renovar un certificado SAML X.509, consulte Certificado de firma de SAML.

¿Qué es la sustitución de claves de firma de Microsoft Entra ID?

Puede encontrar más información aquí.

¿Cómo renuevo el certificado de cifrado de tokens de la aplicación?

Para renovar un certificado de cifrado de tokens de la aplicación, consulte Cómo renovar un certificado de cifrado de tokens para una aplicación empresarial.

¿Cómo renuevo el certificado de firma de tokens de la aplicación?

Para renovar un certificado de firma de tokens de la aplicación, consulte Cómo renovar un certificado de firma de tokens para una aplicación empresarial.

¿Cómo actualizo Microsoft Entra ID después de cambiar mis certificados de federación?

Para actualizar Microsoft Entra ID después de cambiar los certificados de federación, consulte Renovación de certificados de federación para Microsoft 365 y Microsoft Entra ID.

¿Puedo usar el mismo certificado SAML en diferentes aplicaciones?

Cuando es la primera vez que se configura SSO en una aplicación empresarial, proporcionamos un certificado SAML predeterminado que se utiliza en Microsoft Entra ID. Sin embargo, si necesita usar el mismo certificado en varias aplicaciones que no sean la predeterminada de Microsoft Entra ID, use una autoridad de certificación externa y cargue el archivo PFX. La razón es que Microsoft Entra no proporciona acceso a las claves privadas de los certificados emitidos internamente.