Изменение сертификата SAML SP: действительно ли изменения должны произойти в Identity Provider для сертификата, выданного центром сертификации?

Срок действия нашего сертификата, который мы используем для подписи запросов на перенаправление SAML, истекает.

Мы продлили сертификат доверенным центром сертификации, но мне сказали, что, как только мы обновим сертификат, нам нужно уведомить все наши IdP, чтобы обновить сертификат, который у них есть для нас, или произойдет перерыв в обслуживании. и это мало что значит для меня.

Как сертификат, выданный доверенным центром сертификации, разве мы не можем просто заменить старый сертификат в подписанном запросе, поскольку CN и цепочка доверия действительны? Нужно ли что-то делать в IdP, чтобы использовать новый сертификат? Кажется, что все данные, необходимые для проверки подписей и проверки подлинности отправителя, доступны в сертификате. Что мне здесь не хватает?