Información sobre todos los certificados SSL compatibles con Salesforce

Salesforce actuando como el cliente

Al enviar mensajes salientes, solicitudes de autenticación delegada o llamadas de Apex a extremos SSL o seguros (p. ej., https://myintegration.acme.com), una organización de Salesforce.com (que actúe en nombre del cliente) solo confiará en el host del destinatario (que actuará como el servidor) si este presenta un certificado firmado por una autoridad de certificación (CA) de raíz incluida en la lista que se muestra en el siguiente vínculo. Dicho de otro modo, en esta situación, no se permite que el host de destino use certificados autofirmados.

NOTA:

Salesforce solo confía en certificados de autoridades de certificación (CA) de raíz, y ha hecho escasas excepciones a esta regla. La política de confianza de certificados de Salesforce exige que las cadenas de certificados de servidor y cliente incluyan todos los certificados intermedios entre el certificado del servidor o el cliente y el certificado raíz de la cadena. Salesforce no admitirá solicitudes para agregar certificados intermedios a su lista de confianza. Salesforce confía en muchos certificados raíz de confianza, pero no en todos.

Si quiere consultar la lista de los certificados en los que confiamos, agregue /cacerts.jsp a cualquier URL de instancia (solo las instancias de Winter '19 funcionan con este extremo) - https://INSTANCIA.salesforce.com/cacerts.jsp (sustituya 'INSTANCIA' por cualquier instancia actualizada de Winter '19, p. ej., https://cs32.salesforce.com/cacerts.jsp )

Al usar autenticación mutua/SSL bidireccional, Salesforce.com puede presentar un certificado autofirmado para el host de destino (que debe presentar a Salesforce un certificado firmado por la CA), siempre que ese certificado se haya configurado en el host de destino (y se haya instalado en el keystore del servidor).

Salesforce actuando como el servidor

Cuando una organización de Salesforce tiene el inicio de sesión único habilitado usando SAML, la organización desempeña el papel de proveedor de servicio (SP). En este caso, Salesforce hace de servidor y el proveedor de identidad (IdP) configurado actúa como el cliente, y tiene permiso para presentar un certificado autofirmado.

Autenticación de clientes

Cuando envía mensajes salientes, solicitudes de autenticación delegada y aserciones SAML (en los flujos iniciados tanto por el SP como el IdP), Salesforce presenta el certificado asignado por la CA o el certificado autofirmado configurado en Configuración | Controles de seguridad | Gestión de certificados y claves | Certificado de cliente de API.

Por otro lado, las llamadas de Apex pueden especificar qué certificado (de la lista encontrada en Configuración | Controles de seguridad | Gestión de certificados y claves) presentará Salesforce al host de destino. Necesita usar un Nombre común para el certificado que controla. Por ejemplo, algo basado en el dominio de su empresa (p. ej., miempresa.com). No es necesario intentar obtener un certificado en el dominio salesforce.com.

Herramientas SSL disponibles

openssl s_client -showcerts -connect <host>:<puerto>