Una vez en el año recibimos un correo electrónico de Salesforce avisandonos que nuestro certificado autofirmado está por caducar y comienzan nuestras preguntas:

¿Qué es un certificado autofirmado?

¿Dónde se utiliza?

¿Qué sucede si se vence el plazo?

Para todas estas preguntas tenemos respuestas, así que comencemos…

¿Qué son los certificados y claves de Salesforce?

Los certificados y los pares de claves de Salesforce son métodos de verificación de identidad entre nuestra organización de Salesforce y un sistema externo.  Se utilizan para comunicaciones SSL (Secure Sockets Layer) autenticadas con un sitio web externo o cuando se utiliza tu organización como proveedor de identidad. 

Podemos tener hasta 50 certificados generados y existen diferentes tipos dependiendo del sitio que deseamos conectar. Algunos servidores de puntos finales requieren una cadena de certificados en la que confíe una autoridad de certificación; otros no tienen ningún problema con confiar directamente en un certificado autofirmado.

¿Es necesario generar un certificado y clave de Salesforce?

El certificado autofirmado puede utilizarse para dos cosas en Salesforce: 

1. Para verificar la identidad con un sitio externo.

2. Para los inicios de sesión únicos.

Si no estás utilizando este método de autenticación, no es necesario generar un certificado o par de claves de Salesforce pero, en general, Salesforce genera un primer certificado autofirmado disponible para su uso con vencimiento de un año desde su  fecha de creación.

¿Cómo puedo saber si ese certificado está utilizándose?

Para poder saber dónde se utiliza ese certificado, debemos ingresar a Configuración> Proveedor de identidad 

Dentro de está sección vemos en la parte superior, los detalles del certificado que se está utilizando actualmente y en la parte inferior, los sitios externos que utilizan el mismo. En caso de no tener ningún sitio externo conectado, podemos desactivar la Configuración del proveedor de identidad.

Para verificar si se utiliza en los inicios de sesión únicos, ingresamos Configuración> Configuración de inicio de sesión único. Dentro de la sección Configuración de inicio de sesión único de SAML podremos visualizar si nuestro certificado está utilizándose.

¿Cómo puedo generar un nuevo certificado autofirmado y reemplazar el anterior?

1. Ingresar a Configuración > Gestión de certificados y claves 

2. Introducir una etiqueta descriptiva para el certificado de Salesforce. Elegimos una de las opciones disponibles, en este caso, Crear o duplicar el certificado autofirmado.

3. Colocar un nombre único a este certificado. Se puede utilizar el nombre que se rellena automáticamente basándose en la etiqueta de certificado que se introduzca. Este nombre sólo puede incluir guiones bajos y caracteres alfanuméricos y debe ser exclusivo de su organización. 

4. En caso de crear uno nuevo, seleccionar un tamaño de clave para su certificado generado y sus claves. Los certificados con claves de 2048 bits y 3072 bits tienen una duración de un año y son más rápidos que los certificados con claves de 4096 bits. Los certificados con claves de 4096 bits tienen una duración de dos años y se recomiendan para Cifrado de plataforma Shield.

5. Guardar.

Nota: Los certificados autofirmados descargados tienen la extensión .crt. Una vez que haya guardado correctamente un certificado de Salesforce, no podrá cambiar su tipo o el tamaño de su clave. El certificado y sus claves correspondientes se generarán automáticamente.

Si Salesforce es el proveedor de identidad, el cambio del certificado se ejecuta de la siguiente forma:

1. Volver a Configuración> Proveedor de identidad.

2. Seleccionar el botón Modificar y elegir el nuevo certificado creado en los puntos

Si tienen que asignar en el sitio externo el certificado nuevo generado, desde Configuración> Gestión de certificados y claves se puede descargar descargar el  nuevo certificado.

¿Cómo reemplazo mi certificado vencido en la configuración de inicio de sesión único?

1. Ingresar a Configuración > Configuración de inicio de sesión único. 

2. Hacer click en Editar.

3. Hacer click en  "Elegir archivo" para cargar un nuevo certificado en el campo "Certificado de proveedor de identidad".

4. Guardar los cambios después de cargar el nuevo certificado.

Fuente de información:

• Certificates and Keys: https://help.salesforce.com/s/articleView?id=sf.security_keys_about.htm&type=5

• Replace an expired certificate in Single Sign-On settings: https://help.salesforce.com/s/articleView?id=000386054&type=1

• How to Remove Expired Self-Signed Certificate | Salesforce Platform: https://www.youtube.com/watch?v=ota-UsOBJ3U