为 API 登录设置共同身份验证证书

在相互身份验证期间，Salesforce 会将其服务器证书和证书发送到客户端应用程序。除非您使用自定义证书，否则 Salesforce 会为您管理服务器证书。客户端应用程序验证证书和链。反过来，客户端将其客户端证书和链发送到 Salesforce。Salesforce 根据您在证书和密钥管理设置中上传的证书检查证书和证书链。

您可以从公共证书颁发机构 (CA) 供应商获取客户端证书。如果您使用来自公共 CA 供应商的用户身份验证证书，证书必须链接到实例的有效根 CA。对于有效的公共 CA 供应商列表，将 /cacerts.jsp 添加到实例 URL，例如 https://MyCompany.my.salesforce.com/cacerts.jsp。为了定义证书的目的，公共 CA 供应商使用扩展密钥使用 (EKU) 扩展。对于相互身份验证，客户端证书必须包含客户端身份验证 EKU。

重要 通过 Google Chrome 根计划策略 v1.7，客户端和服务器证书不能来自 Chrome 受信根列表中的相同公共根 CA。通过此更改，您无法再使用包含 EKU 的证书进行客户端和服务器身份验证。为防止中断，请过渡到单独的证书层次结构。Google Chrome 策略更改将于 2026 年 6 月 15 日生效，但在此之前，一些公共 CA 供应商的证书续订可能会遇到问题。

有关更多信息，请查看公用密钥基础设施 (PKI) 的即将强制更改。

要删除证书，请从“设置”中，在“证书和密钥管理”页面中，单击证书名称旁边的删除。对于拥有强制实施 SSL/TLS 共同身份验证用户权限的用户，若删除与其关联的共同身份验证证书，使用户会话 ID 失效需要 5 分钟，并从缓存中清除证书。

有关使用相互身份验证设置基于证书的 UI 登录的步骤，请参阅基于证书的身份验证。