Einige Unternehmen setzen die proprietären Systeme von Citrix ein. Eine Sitzung auf deren Terminalserver kann über Citrix Workspace auch von Außerhalb gestartet werden. Für mich war das interessant, um ins Firmennetzwerk und somit per RDP/VNC auf meine Workstations zu kommen, ohne zwingend ein Unternehmensgerät nutzen zu können. Citrix Workspace wird für alle gängigen Betriebssysteme angeboten, sodass es auch unter Linux genutzt werden kann.
Folgender Artikel wurde auf xUbuntu 20 LTS erstellt, sollte jedoch auch auf anderen Distributionen funktionieren.
Citrix Workspace installieren
Auf der Downloadseite von Citrix Workspace für Linux wählt man im Falle von Ubuntu Debian Packages > Full Packages (Self-Service Support) > Citrix Workspace app for Linux (x86_64) > Download File. Daraufhin wird eine icaclient_*.deb Datei heruntergeladen, die entsprechend der aktuellen Version anders benannt ist. Sie lässt sich mittels apt installieren:
sudo apt install /home/daniel/Downloads/icaclient_20.06.0.15_amd64.debVersucht man nun eine Verbindung herzustellen, bricht dies jedoch mit folgendem Fehler ab:
SSL-Fehler 61 beheben
Das Hauptproblem liegt darin, dass Citrix Workspace nicht den Truststore des Betriebssystemes benutzt. Die fehlenden Root-Zertifikate einfach im Betriebssystem zu importieren, wie in der Doku empfohlen, funktioniert daher nicht. Stattdessen hat sich Citrix einen eigener gebastelt, der sich unter /opt/Citrix/ICAClient/keystore/cacerts befindet. Die fehlenden Root-Zertifikate müssen dort kopiert bzw. verlinkt werden. In meinem Falle stammten diese von Usertrust.
Firefox bringt die fehlenden bereits mit. Daher genügt es, einen symbolischen Link auf die zwei Root-Zertifikate im Zertifikatsspeicher von Firefox zu erstellen:
sudo ln -s /usr/share/ca-certificates/mozilla/USERTrust* /opt/Citrix/ICAClient/keystore/cacertsDies sollte zwei Zertifikate verlinken:
$ l /opt/Citrix/ICAClient/keystore/cacerts/USERTrust*
lrwxrwxrwx 1 root root 76 Jul 10 11:25 /opt/Citrix/ICAClient/keystore/cacerts/USERTrust_ECC_Certification_Authority.crt -> /usr/share/ca-certificates/mozilla/USERTrust_ECC_Certification_Authority.crt
lrwxrwxrwx 1 root root 76 Jul 10 11:25 /opt/Citrix/ICAClient/keystore/cacerts/USERTrust_RSA_Certification_Authority.crt -> /usr/share/ca-certificates/mozilla/USERTrust_RSA_Certification_Authority.crtNach einem Neustart wird der Zertifizierungsstelle vertraut, sodass die Verbindung hergestellt werden kann.
Update 09/2020: Weiteres Zertifikat nötig
Mittlerweile scheint das nicht mehr auszureichen und man muss ein weiteres Zertifikat herunterladen: http://comodo.tbs-certificats.com/SectigoRSADomainValidationSecureServerCA.crt
Dies wird in den Pfad /opt/Citrix/ICAClient/keystore/cacerts/ kopiert. Anschließend /opt/Citrix/ICAClient/util/ctx_rehash ausführen und die Citrix-Verbindung funktioniert wieder.