StartseiteSoftwareCitrix SSL-Fehler 61: „Sectigo RSA CA nicht vertrauenswürdig“ beheben

Citrix SSL-Fehler 61: „Sectigo RSA CA nicht vertrauenswürdig“ beheben

Einige Unternehmen setzen die proprietären Systeme von Citrix ein. Eine Sitzung auf deren Terminalserver kann über Citrix Workspace auch von Außerhalb gestartet werden. Für mich war das interessant, um ins Firmennetzwerk und somit per RDP/VNC auf meine Workstations zu kommen, ohne zwingend ein Unternehmensgerät nutzen zu können. Citrix Workspace wird für alle gängigen Betriebssysteme angeboten, sodass es auch unter Linux genutzt werden kann.

Folgender Artikel wurde auf xUbuntu 20 LTS erstellt, sollte jedoch auch auf anderen Distributionen funktionieren.

Citrix Workspace installieren

Auf der Downloadseite von Citrix Workspace für Linux wählt man im Falle von Ubuntu Debian Packages > Full Packages (Self-Service Support) > Citrix Workspace app for Linux (x86_64) > Download File. Daraufhin wird eine icaclient_*.deb Datei heruntergeladen, die entsprechend der aktuellen Version anders benannt ist. Sie lässt sich mittels apt installieren:

sudo apt install /home/daniel/Downloads/icaclient_20.06.0.15_amd64.deb

Versucht man nun eine Verbindung herzustellen, bricht dies jedoch mit folgendem Fehler ab:

SSL-Fehler 61 beheben

Das Hauptproblem liegt darin, dass Citrix Workspace nicht den Truststore des Betriebssystemes benutzt. Die fehlenden Root-Zertifikate einfach im Betriebssystem zu importieren, wie in der Doku empfohlen, funktioniert daher nicht. Stattdessen hat sich Citrix einen eigener gebastelt, der sich unter /opt/Citrix/ICAClient/keystore/cacerts befindet. Die fehlenden Root-Zertifikate müssen dort kopiert bzw. verlinkt werden. In meinem Falle stammten diese von Usertrust.

Firefox bringt die fehlenden bereits mit. Daher genügt es, einen symbolischen Link auf die zwei Root-Zertifikate im Zertifikatsspeicher von Firefox zu erstellen:

sudo ln -s /usr/share/ca-certificates/mozilla/USERTrust* /opt/Citrix/ICAClient/keystore/cacerts

Dies sollte zwei Zertifikate verlinken:

$ l /opt/Citrix/ICAClient/keystore/cacerts/USERTrust*
lrwxrwxrwx 1 root root 76 Jul 10 11:25 /opt/Citrix/ICAClient/keystore/cacerts/USERTrust_ECC_Certification_Authority.crt -> /usr/share/ca-certificates/mozilla/USERTrust_ECC_Certification_Authority.crt
lrwxrwxrwx 1 root root 76 Jul 10 11:25 /opt/Citrix/ICAClient/keystore/cacerts/USERTrust_RSA_Certification_Authority.crt -> /usr/share/ca-certificates/mozilla/USERTrust_RSA_Certification_Authority.crt

Nach einem Neustart wird der Zertifizierungsstelle vertraut, sodass die Verbindung hergestellt werden kann.

Über DMW007

Schreibe einen Kommentar