Instructions on SSO certificate renewal in August 2022
Please read this document, as it affects Enterprise customers who use Keeper SSO Connect Cloud.
Note: Nothing needs to change on the Keeper side. Do NOT reconfigure your Keeper SSO settings. DO NOT delete anything. The only action you will take is updating Keeper's certificate on your identity provider.
On August 17 at 19:38 GMT (11:38 AM PST / 1:38 PM CST), Keeper's current Cloud SSO Certificate used for signing SAML requests is expiring. This is referred to as the Service Provider (SP) Certificate (Not the IdP Cert).
We have published a new Service Provider Certificate which is live and available for you to download. The certificate is embedded in the XML metadata file and also available as a direct download "Export SP Cert" from the Keeper Admin Console.
Customers using basic configuration in Azure, Okta, Google are NOT Affected.
If you use Keeper Automator alongside SSO Cloud, you are NOT Affected and you do not need to update the certificate, as this is handled by the cert you added to Automator.
If you are using SSO On-Prem you are NOT Affected.
If you are using ADFS with Cloud SSO Connect (without Automator), you are affected.
If you are using Ping Identity (without Automator), you are affected. Read instructions below.
If you use Okta with SLO (Single Logout) activated, you are affected. Read instructions below.
If you use JumpCloud (without Automator), you are affected. Read instructions below.
If you are using service provider-initiated SLO (Single Logout) then you are affected.
If you have a configuration on your identity provider where they are encrypting the SAML assertion with our certificate, you will be affected -- if the identity provider refuses to encrypt with an expired cert.
Other identity providers may reject requests when the cert has expired.
It's best practice to update the certificate regardless.
You can simply update the "Service Provider Certificate" in your identity provider (by uploading Keeper's Service Provider metadata or Service Provider Certificate). This can be done right now.
The metadata and SP Cert are available from the Keeper Admin Console as seen below:
Important: Ensure that you have the ability to login to the Admin Console with an account and a Master Password that exists outside of the SSO node, in case your SSO is unavailable or affected by the expired certificate.
Updating the certificate only takes a few minutes.
To update the service provider certificate on ADFS, please follow the below steps:
Login to the Keeper Admin Console
Go to Admin > SSO Node > Provisioning and then view the SSO Cloud configuration.
Click on "Export SP Cert" and save the certificate file.
In the AD FS Management Console select the Keeper Cloud SSO Relying Party Trust properties.
On the "Encryption" tab, replace the old certificate with this new cert.
On the "Signature" tab, Add/Replace the new SP certificate with this new cert.
Azure does not appear affected by the certificate expiration, but updating the metadata is simple.
Go to Azure Portal > Enterprise Applications > Keeper Password Manager > Single Sign-On
Click "Upload metadata file" at the top.
Select the metadata xml file that was downloaded from Keeper.
Click Save
Only if you have enabled Single Logout enabled with Okta...
Login to the Keeper Admin Console
Go to Admin > SSO Node > Provisioning and then view the SSO Cloud configuration.
Click on "Export SP Cert" and save the certificate file.
Go to Okta Admin Portal > Applications > Keeper > Sign On tab
If you have "Enable Single Logout" enabled...
Click Edit and Upload the SP Cert from Keeper and click Save
If you don't have Single Logout enabled, there's nothing to do.
Login to the Keeper Admin Console
Go to Admin > SSO Node > Provisioning and then view the SSO Cloud configuration.
Click on "Export SP Cert" and save the certificate file.
Go to the JumpCloud Admin Portal and go to SSO
Open the Keeper Application > SSO Tab
Click on "Replace SP Certificate" and select the new SP Certificate file. (NOT the IdP Cert!)
Login to the Keeper Admin Console
Go to Admin > SSO Node > Provisioning and then view the SSO Cloud configuration.
Click on "Export SP Cert" and save the certificate file.
Login to your Ping Identity portal.
Their notification center will notify you which certificates are expiring.
In the Ping portal, open the Keeper application
Update the "Verification Certificate" and the "Encryption Certificate".
(Alternatively, just upload the new Keeper metadata)
Login to the Keeper Admin Console
Go to Admin > SSO Node > Provisioning and then view the SSO Cloud configuration.
Click on "Export SP Cert" and save the certificate file.
Click on "Export Metadata" and save the metadata file, which also contains the certificate.
Login to your Identity Provider portal and view the SSO configuration for Keeper.
Upload Keeper's SP certificate file (or metadata, if required) following their instructions to update the Service Provider certificate and Save.
If you can't login to the Admin Console, please open a support case and we'll assist you. Make sure to provide all the relevant information about your identity provider and your environment.
If you require assistance, please open a support ticket at the link below:
Q: Which certificate is updating?
A: Our SAML signing certificate for sso.keepersecurity.com has been renewed. The new certificate is now live and will be used for signing all requests until July 2023. This certificate is used for signing requests, sending Single Logout (SLO) requests and can be used to encrypt assertions from the Identity Provider (if configured that way).
Q: Are we affected?
A: In the document above, we identify which customers are affected. If you don't know, you should probably go ahead and update the certificate now, while the old cert is still valid. This is best practice.
Q: Is the key changing?
A: No, we are not re-keying the cert. The current certificate is simply being renewed. The public key does not change, only the expiration date of the cert.
Q: Why is this happening?
A: All certificates have to be renewed annually. Since 2020, public CAs have required that certificates must be renewed once per year (even if a multi-year certificate is purchased).
Q: Is SSO Connect On-Prem affected?
A: No, this only affects customers using SSO Connect Cloud.
Q: Why are we not affected if we use Automator?
A: When you set up Automator, the certificate used for signing comes from the Automator configuration, not from Keeper's certificate.
Q: How do we set up Automator?
A: The Keeper Automator service information is available here: https://docs.keeper.io/sso-connect-cloud/device-approvals/automator Keep in mind, Automator also requires a certificate that must be updated annually. It's just on a different time interval.
Stay ahead of SSO Certificate expiration in your SSO On-Prem installation
Customers who use SSO On-Prem (self-hosted version of SSO Connect), please read this important notice. Action is required on an annual basis, depending on the date of your SSL certificate expiration.
As outlined in the SSO Connect On-Prem documentation, the installation of the on-prem service requires the creation of an SSL certificate that is used for signing SAML requests and encrypting SAML assertions. This certificate is also used to protect the SSL communications on the service itself.
The Identity Provider (IdP) uses the certificate for verifying the SAML request, and for signing SAML assertions. During the configuration of the Keeper application in the identity provider, you have to upload the Keeper SP metadata to provide the IdP with the certificate.
SSL certificates typically expire after 1 year. Many identity providers such as AD FS will throw errors when the Service Provider (SP) certificate has expired.
Therefore, it's important that customers using SSO On-Prem follow the below best practices:
The private key, CSR, certificate and intermediate certificates generated during the setup process should be backed up in your Keeper vault.
Exactly one year after your certificate is issued, it will expire. Therefore we recommend putting a calendar reminder to renew the certificate. Renewing the certificate is typically automatically performed by the SSL certificate provider. The new certificate file is provided to you along with the latest intermediate certificate chain.
The expiration date of the certificate can be checked a few different ways:
From the SSO Connect On-Prem application user interface
From the certificate file using openssl
From the .pfx file using openssl
The command below will extract the cert from the .pfx file and then display the expiration date.
From your local on-prem SSO Connect instance, open the configuration screen at http://127.0.0.1:8080/config/
Login with your Keeper Administrator account
On the "Status" screen, see the expiration date listed
Before the SSL Certificate expires, it's important to renew the certificate from your provider. Many of the SSL certificate providers will automatically renew and issue you an updated certificate. It is not necessary to re-key it. Simply load the new renewed certificate that has the existing private and public key.
The certificate provider will give you a zip file that contains the .crt
certificate and .ca-bundle
intermediate certificate chain. You will have the original .key
private key file from the original certificate generation in the prior year.
Hopefully you stored your private .key file in your Keeper vault. If you lost your private key, you'll need to create a whole new certificate following our Create Certificate instructions page
To update Keeper SSO Connect, the certs needs to be converted to .pfx
format. From the OpenSSL Command Prompt in the same folder as the .key
, .crt
and .ca-bundle
file, run the below command.
In this example...
keeper.mycompany.com.key
is the private key generated in step 1.
keeper.mycompany.com.crt
is the signed certificate delivered in step 3.
keeper.mycompany.com.ca-bundle
is the CA bundle containing intermediate and root public certificate chains
keeper.mycompany.com.pfx
is the pkcs12 output file used by SSO Connect that has been encrypted with a password.
Make sure to save all 4 files and the generated strong password in your Keeper Vault. Note: The generated key password should not contain special characters.
You will need this password when importing the PFX file into Keeper SSO Connect Interface.
In SSO Connect On-Prem, click “⚙️Configuration”
Drag or upload the .pfx file you just generated into SSO Connect:
Click “Save” in the upper right hand corner of SSO Connect and your certificate configuration should be complete.
After a minute, the service should update and the certificate expiration date should change. Once this is complete, please check the end-user login flow to ensure that the SSO login works.
If you can't login to the Admin Console, please open a support case and we'll assist you.
If you require assistance, please open a support ticket at the link below:
Ensure that you are logging in as a Keeper Administrator with privileges to manage SSO.
Use an account that is in the root node of the enterprise tenant and logs in with a Master Password. SSO Connect On-Prem interface does not allow login with SSO. It is important that all customers using SSO Connect have a service account or administrative account that exists outside of the SSO context.
If you are still unable to login, please locate another Admin in your organization that has the ability to login with a Master Password.
2023年7月のSSO証明書更新に関する説明
このドキュメントは、Keeper SSO Connect Cloud を特定のアイデンティティプロバイダと使用している法人のお客様に影響しますので、必ずお読みください。
注: Keeper側では何も変更する必要はありません。Keeper SSO設定を再設定しないでください 。何も削除しないでください。唯一必要なアクションは、IDプロバイダ上でKeeperの証明書を更新することです。
2023年7月20日12:18(米国太平洋標準時)に、SAMLリクエストの署名に使用されているKeeperの現在のクラウドSSO証明書の有効期限が切れます。これはサービスプロバイダー(SP)証明書と呼ばれています(IdP証明書ではありません)。
新しいサービスプロバイダー証明書を公開しました。証明書はXMLメタデータファイルに埋め込まれており、Keeper管理コンソールから「SP証明書のエクスポート」を直接ダウンロードすることも可能です。
Azure、Okta、Googleの基本設定を使用しているお客様は影響を受けません。
Keeper Automator を SSO Cloud と一緒に使用している場合、影響を受けません。
また、Automator に追加した証明書によって処理されるため、証明書を更新する必要はありません。 SSO On-Prem を使用している場合は、影響を受けません。
ADFS with Cloud SSO Connect(Automatorなし)を使用している場合、影響を受けます。
Ping Identity(Automatorなし)を使用している場合、影響を受けます。以下の説明をお読みください。
SLO(シングルログアウト)を有効にしてOktaを使用している場合、影響を受けます。以下の説明をお読みください。
JumpCloud(Automatorなし)を使用している場合、影響を受けます。以下の説明をお読みください。
サービスプロバイダ主導のSLO(シングルログアウト)を使用している場合、影響を受けます。 ID プロバイダで、当社の証明書を使用して SAML アサーションを暗号化する設定を行っている場合、影響を受けます(ID プロバイダが期限切れの証明書による暗号化を拒否した場合)。
他の ID プロバイダは、証明書の有効期限が切れている場合、要求を拒否することがあります。
定かでない場合はIDプロバイダが認証を拒否した場合に備えて、7月20日に更新を実行できるようにご準備ください。
IDプロバイダの「サービスプロバイダ証明書」を更新するだけです(Keeperのサービスプロバイダメタデータまたはサービスプロバイダ証明書をアップロードする)。これは今すぐ実行できます。 メタデータとSP認証はKeeper管理コンソールからご利用可能です。
重要: SSO が利用できない、または有効期限切れの証明書の影響を受ける場合に備えて、SSOノードの外部に存在するアカウントとマスターパスワードで管理コンソールにログインできるようにしておいてください。
証明書の更新はわずか数分で済みます。
ADFSのサービスプロバイダ証明書を更新するには、以下の手順に従ってください。
Keeper 管理コンソールにログインしてください。
管理 > SSOノード > プロビジョニングに移動し、SSOクラウド設定を表示します。
「SP認証エクスポート」をクリックし、証明書ファイルを保存します。
AD FS 管理コンソールで Keeper Cloud SSO Relying Party Trust プロパティを選択します。
「暗号化」タブで、古い証明書を新しい証明書に置き換えます。
「署名」タブで、新しい SP 証明書をこの新しい証明書で追加/置換します。
Azureは証明書の有効期限の影響を受けないようですが、メタデータの更新は簡単です。
Azure Portal > Enterprise Applications > Keeper Password Manager > Single Sign-On にアクセスします。
一番上の「メタデータファイルをアップロード」をクリックします。
Keeperからダウンロードしたメタデータxmlファイルを選択します。
「保存」をクリック
Oktaでシングルログアウトを有効にしている場合にのみ
Keeper 管理コンソールにログインします。
管理 > SSOノード > プロビジョニングに移動し、SSOクラウド設定を表示します。
「SP認証エクスポート」をクリックし、証明書ファイルを保存します。
Okta 管理コンソール > アプリケーション > Keeper > サインオンタブに移動します。
「シングルログアウトを有効にする」を有効にしている場合...
「編集」をクリックし、KeeperからSP認証をアップロードし、「保存」をクリックします。
シングルログアウトを有効にしていない場合は、何もすることはありません。
Keeper 管理コンソールにログインします。
管理 > SSOノード > プロビジョニングに移動し、SSOクラウド設定を表示します。
「SP 認証エクスポート」をクリックし、証明書ファイルを保存します。
JumpCloud 管理ポータルに移動し、SSO に移動します。
Keeperアプリケーション > SSOタブを開きます。
「SP証明書の置き換え」をクリックし、新しいSP証明書ファイルを選択します。 (IdP証明書ではありません!)
Keeper 管理コンソールにログインします。
管理 > SSOノード > プロビジョニングに移動し、SSOクラウド設定を表示します。
「SP認証エクスポート」をクリックし、証明書ファイルを保存します。
Ping Identity ポータルにログインします。
Ping Identityポータルの通知センターで、有効期限が切れる証明書が通知されます。
Ping ポータルで、Keeper アプリケーションを開きます。 「検証証明書」と「暗号化証明書」を更新します。 (または、新しいKeeperメタデータをアップロードしてください)
Keeper 管理コンソールにログインします。
管理 > SSOノード > プロビジョニングに移動し、SSOクラウド設定を表示します。
「SP認証エクスポート」をクリックし、証明書ファイルを保存します。
メタデータのエクスポート」をクリックし、証明書を含むメタデータファイルを保存します。
アイデンティティプロバイダーポータルにログインし、Keeper の SSO 設定を表示します。
KeeperのSP証明書ファイル(または必要な場合はメタデータ)を指示に従ってアップロードし、サービスプロバイダ証明書を更新して保存します。
管理コンソールにログインできない場合は、サポートケースを開いてください。お客様の ID プロバイダと環境に関するすべての関連情報を提供してください。 サポートが必要な場合は、以下のリンクからサポートチケットを開いてください。
Q: どの証明書が更新されていますか?
A: sso.keepersecurity.com の SAML 署名証明書が更新されました。 新しい証明書は現在稼働しており、2024 年 7 月まですべてのリクエストの署名に使用されます。この証明書は、リクエストへの署名、シングルログアウト(SLO)リクエストの送信に使用され、アイデンティティプロバイダからのアサーションを暗号化するために使用できます(そのように構成されている場合)。
Q: 弊社は影響を受けますか?
A: 上記の文書では、どのようなお客様が影響を受けるかを特定しています。もしご存知でなければ、古い証明書がまだ有効なうちに、今すぐ証明書を更新してください。それがベストプラクティスです。
Q: 鍵は変更されますか?
A: いいえ。現在の証明書が更新されるだけです。公開鍵は変更されず、証明書の有効期限のみが変更されます。
Q: なぜこのようなことが起きているのでしょうか?
A: すべての証明書は毎年更新しなければなりません。2020年以降、公開認証局は証明書を1年に1回更新することを義務付けています(複数年の証明書を購入した場合も同様)。
Q: SSO Connect On-Premは影響を受けますか?
A: いいえ、SSO Connect Cloudをご利用のお客様にのみ影響します。
Q: なぜAutomatorを使用すると影響を受けないのですか。
A: Automatorを設定する際、署名に使用される証明書はKeeperの証明書ではなく、Automatorの設定から取得されます。
Q: Automatorの設定方法を教えてください。
A: Keeper Automatorのサービス情報はこちらをご覧ください: https://docs.keeper.io/sso-connect-cloud/device-approvals/automator また、Automatorは毎年更新される証明書が必要です。時間間隔が違うだけです。