Ablaufende SSO-Zertifikate haben eine unangenehme Eigenschaft: Sie kündigen sich nicht laut an. Ein Tag läuft alles normal, am nächsten Morgen kommt kein einziger Nutzer mehr ins System. Ich habe dieses Szenario bei Kunden erlebt - und mit dieser Anleitung stellen Sie sicher, dass es bei Ihnen nicht so weit kommt.
Die rechtzeitige Erneuerung ablaufender Salesforce-Zertifikate ist keine Hexerei, erfordert aber etwas Planung und Struktur. Salesforce unterstützt Sie dabei mit Benachrichtigungen 60, 30 und 10 Tage vor Ablauf – doch verlassen Sie sich nicht allein darauf. Mit diesem Leitfaden lernen Sie, wie Sie Zertifikate identifizieren, erneuern und Konfigurationen aktualisieren, bevor Probleme auftreten.
Die beste Zeit, ein Problem zu lösen, ist, bevor es entsteht.
– Peter Drucker
Schritt-für-Schritt: Salesforce-Zertifikate erneuern
- Schritt 1: Zertifikat identifizieren und sichern
Gehen Sie zuSetup > Sicherheit > Zertifikat- und Schlüsselverwaltung, suchen Sie das ablaufende Zertifikat und laden Sie es herunter. Notieren Sie sich den Namen, z. B. „SelfSignedCert_2023“. - Schritt 2: Neues Zertifikat erstellen
Klicken Sie in derselben Ansicht aufNeues selbstsigniertes Zertifikat erstellen. Geben Sie einen Namen ein, der die Nachverfolgung erleichtert, wie „SelfSignedCert_20250323“ (mit Erstellungsdatum) oder „SelfSignedCert_Exp2035“ (mit Ablaufdatum). Wählen Sie die Schlüssellänge (empfohlen: 2048 Bit) und speichern Sie. - Schritt 3: Konfigurationen aktualisieren
Prüfen Sie, wo das alte Zertifikat verwendet wird. Gehen Sie zuSetup > Identität > Identitätsprovider, klicken Sie auf Bearbeiten und wählen Sie das neue Zertifikat aus dem Dropdown-Menü. Dasselbe gilt für SSO: UnterSetup > Identität > Single Sign-On-Einstellungenöffnen Sie jede Einstellung, prüfen das Feld Anforderungs-Signaturzertifikat, bearbeiten es bei Bedarf und speichern die Änderung mit dem neuen Zertifikat. - Schritt 4: Altes Zertifikat löschen
Zurück inZertifikat- und Schlüsselverwaltungkönnen Sie das alte Zertifikat löschen, sobald es nirgends mehr verwendet wird. Das stoppt die Warn-E-Mails von Salesforce.
Schritt-für-Schritt-Anleitung mit OpenSSL
- Schritt 1: Privaten Schlüssel generieren
Öffnen Sie Ihr Terminal und geben Sie ein: openssl genrsa -out privatekey.pem 2048 Das erstellt einen 2048-Bit-Schlüssel, der Salesforce-kompatibel ist. - Schritt 2: Zertifikat mit 10 Jahren Gültigkeit erstellen
Führen Sie diesen Befehl aus: openssl req -new -x509 -key privatekey.pem -out certificate.pem -days 3650 Sie werden nach Details wie Land, Organisation und Name gefragt – füllen Sie diese aus, z. B. „DE“, „IhreFirma“, „MicrosoftSSO“. Die Option „-days 3650“ setzt die Gültigkeit auf 10 Jahre (3650 Tage). - Schritt 3: Zertifikat in Salesforce hochladen
Gehen Sie zu Setup > Sicherheit > Zertifikat- und Schlüsselverwaltung, klicken Sie auf CA-signiertes Zertifikat hochladen, wählen Sie die Datei „certificate.pem“ und geben Sie einen eindeutigen Namen wie „MicrosoftSSO_10Y_2035“ ein. Speichern Sie es. - Schritt 4: SSO-Konfiguration anpassen
Unter Setup > Identität > Single Sign-On-Einstellungen bearbeiten Sie die entsprechende SSO-Einstellung, wählen das neue Zertifikat im Feld Anforderungs-Signaturzertifikat aus und speichern. Testen Sie die Verbindung, um sicherzugehen, dass Microsoft SSO funktioniert.
Häufige Probleme und deren Lösungen
- Problem: Altes Zertifikat lässt sich nicht löschen
Das passiert, wenn es noch irgendwo verwendet wird. Gehen Sie zu Identitätsprovider und Single Sign-On-Einstellungen, prüfen Sie alle Referenzen und ersetzen Sie das alte Zertifikat durch das neue. Erst dann wird die Löschoption aktiv. - Problem: SSO schlägt nach Erneuerung fehl
Ursache ist oft eine fehlende Aktualisierung in den SSO-Einstellungen. Überprüfen Sie unter Single Sign-On-Einstellungen das Feld Anforderungs-Signaturzertifikat und stellen Sie sicher, dass das neue Zertifikat ausgewählt ist. - Problem: Warnungen trotz Erneuerung
Wenn Salesforce weiterhin E-Mails sendet, liegt es an einer übersehenen Referenz. Durchforsten Sie alle Konfigurationen systematisch – ein Dokument mit allen Zertifikatverwendungen hilft hier enorm.
Best Practices für langfristigen Erfolg
- Planen Sie monatliche Überprüfungen ein, um frühzeitig zu handeln.
- Dokumentieren Sie jede Zertifikatverwendung – das ist Ihr Rettungsanker bei komplexen Setups.
- Nutzen Sie Automatisierungstools für Erinnerungen, etwa über Salesforce Flows oder externe Skripte.
- Erstellen Sie Backups aller Zertifikate, besonders bei externen Integrationen.
Das Wichtigste im Überblick
Prüfen Sie regelmäßig Ihre Zertifikate in der Zertifikat- und Schlüsselverwaltung, sichern Sie sie vor der Erneuerung und halten Sie Ihre SSO-Konfigurationen aktuell. Dokumentation und proaktive Checks verhindern den Notfall.
Die Sicherheitskonfiguration in Salesforce geht über Zertifikate hinaus: Gut gepflegte Permission Sets reduzieren das Risiko unbefugter Zugriffe erheblich. Und wer Zertifikate zwischen Orgs deployt, sollte die Deployment-Nachbereitung nicht überspringen.
Häufige Fragen
Was passiert, wenn ein Salesforce SSO-Zertifikat abläuft?
Sobald das Zertifikat abläuft, können sich alle Nutzer, die SSO verwenden, nicht mehr anmelden. Nur Nutzer mit direktem Salesforce-Login (Username + Passwort) haben noch Zugang. Deshalb rechtzeitig verlängern und niemals alle Nutzer auf SSO-Only setzen.
Wie weit im Voraus sollte ich das SSO-Zertifikat erneuern?
Mindestens 4-6 Wochen vor Ablauf. So haben Sie ausreichend Zeit, das neue Zertifikat vom Identity Provider zu beziehen, in Salesforce zu konfigurieren und in einer Sandbox zu testen, bevor Sie es in Production ausrollen.
Wie teste ich das neue SSO-Zertifikat, ohne alle Nutzer auszusperren?
Zuerst in einer Sandbox mit identischer SSO-Konfiguration testen. In Production das neue Zertifikat parallel zum alten konfigurieren (wenn Ihr IdP das unterstützt) und mit einem Testnutzer prüfen, bevor Sie das alte Zertifikat entfernen.
Welche Informationen brauche ich vom Identity Provider für die Zertifikatserneuerung?
Sie benötigen das neue SAML-Zertifikat (meist als .pem oder .crt Datei), die Entity ID, und die SSO-Login-URL des IdP. Diese Informationen erhalten Sie vom IT-Team oder direkt aus der IdP-Verwaltungskonsole (z.B. Azure AD, Okta).
Cheat Sheet und Anleitung: SSO-Zertifikat erneuern
Zwei Referenzkarten für den Zertifikatswechsel: Das Cheat Sheet zeigt beide Methoden und häufige Fehler im Überblick. Die Schritt-für-Schritt-Anleitung führt Sie sicher durch den gesamten Prozess. Beides ausdrucken und beim nächsten Zertifikatswechsel griffbereit haben.
Wenn Sie in Ihrer Organisation SSO-Zertifikate erneuern oder eine komplexe Salesforce-Sicherheitskonfiguration aufsetzen wollen, unterstütze ich Sie dabei — von der Analyse der bestehenden Zertifikate bis zur reibungslosen Umstellung ohne Ausfälle.
