无法建立 Citrix 接收器 SSL 连接

无法建立 Citrix 接收器 SSL 连接

我在让 citrix 接收器(客户端代理,不是 Web)在 ubuntu 16.04.1 LTS 上运行时遇到了一些问题。

初始安装后,我使用符号链接将 Firefox 的 CA 证书添加到 /opt/Citrix/ICAClient/keystore 中的 cacerts 文件夹中,然后重新散列证书;

sudo ln -s /usr/share/ca-certificates/mozilla/* /opt/Citrix/ICAClient/keystore/cacerts/
sudo c_rehash /opt/Citrix/ICAClient/keystore/cacerts/

如果我通过 Web 浏览器访问,Citrix 就可以正常工作。应用程序启动后一切正常。

但我无论如何都无法让接收器应用程序正常工作。当我尝试添加我公司的商店客户端时,它立即失败,并显示:

Your account cannot be added using this server address.
An SSL connection to the server couldn't be established because the server's certificate was not trusted.

我们用于 Storefront 的证书(通过 Citrix Netscaler 网关提供)是 GoDaddy 颁发的通配符。有人知道我是否需要在某处添加此证书以便 Citrix Receiver 客户端正常工作吗?

任何帮助将不胜感激。

干杯。

答案1

要解决此问题,您可以参考以下链接:

安全 - Citrix 产品文档

如何将.crt转换为.pem - 代码日志

我可以通过以下步骤让接收方应用程序信任服务器的证书:

  1. 从 Web 浏览器导出服务器证书。证书以文件扩展名导出.crt。您也可以在/usr/share/ca-certificates/mozilla/*
  2. 通过以下命令将crt文件转换为pem文件:

    openssl x509 -in mycert.crt -out mycert.pem -outform PEM
    

    mycert.crt导出的证书在哪里。

  3. 将 pem 文件复制到$ICAROOT/keystore/cacerts

    通常情况下$ICAROOT=/opt/Citrix/ICAClient

  4. 通过以下命令重新哈希证书:$ICAROOT/util/ctx_rehash

  5. 重新打开 Citrix Receiver。它现在应该信任该证书。

答案2

恢复至 Citrix Receiver (v13.4)

然后按照上面 Chin-Chang Yang 的步骤进行操作。

参考此链接

答案3

总是这样,我一发布问题就能找到答案。我通过运行

/opt/Citrix/ICAClient/util/configmgr &

在 shell 中我发现了另一个错误

Error adding store:AM_ERROR_HTTP_SERVER_CERTIFICATE_NOT_TRUSTED[65150]

/opt/Citrix/ICAClient/utils 下有一个名为 ctx_rehash 的实用程序。显然 c_rehash 不够用,您还必须使用这个。在我运行它(sudo /opt/Citrix/ICAClient/utils/ctx_rehash)之后,一切都很顺利。

干杯。

答案4

其他答案有效,但我不知道“下载证书”是什么意思。

您需要一个服务器 URL 来连接到 Citrix,例如 yourorg.net。我将使用它YOUR_SERVER_URL作为模板。

1.下载服务器证书

   1.a. CLI 选项

openssl s_client -connect [YOUR_SERVER_URL]:443 -showcerts </dev/null 2>/dev/null|openssl x509 -outform PEM > YOUR_SERVER_CERT.pem
  • 你可能会收到此错误:

    40779AFE687F0000:error:0A000152:SSL routines:final_renegotiate:unsafe legacy renegotiation disabled:../ssl/statem/extensions.c:893:
    

    通过使用以下文件来修复此问题sudo

    sudo nano /etc/ssl/openssl.cnf
    

    找到此部分并添加以下内容:

    [openssl_init]
    ssl_conf = ssl_sect
    
    [ssl_sect]
    system_default = system_default_sect
    
    [system_default_sect]
    MinProtocol = TLSv1.2
    CipherString = DEFAULT@SECLEVEL=1
    Options = UnsafeLegacyRenegotiation
    

   1.b. 通过浏览器选择

  1. 在 Chrome 中打开 YOUR_SERVER_URL。

  2. 单击 URL 右侧的锁定图标,然后单击“证书”链接。

    在此处输入图片描述

    在此处输入图片描述

  3. 然后单击“详细信息”选项卡,然后单击“导出”按钮。

    在此处输入图片描述

  4. 保存为 YOUR_SERVER_CERT.pem,您无需将其转换为 pem 文件。

2. 将证书复制到 Citrix 客户端目录

sudo cp YOUR_SERVER_CERT.pem /opt/Citrix/ICAClient/keystore/cacerts/

3.现在使用以下命令更新 Citrix 证书:

/opt/Citrix/ICAClient/utils/ctx_rehash

相关内容