Heute möchte ich über ein aktuelle Problembehebung berichtet, die mich schon länger beschäftigte. Es gibt teilweise massive Probleme, wenn sich Windows XP oder Windows Vista Clients mit einem Citrix Access Gateway über eine SSL Verbindung konnekten möchten. Warum auch immer kommt es nur bei bestimmten PC´s zu den nachfolgend beschriebenen Problemen. Es liegt definitiv nicht an unterschiedlichen Windows Versionen bzw. an der Hardware.

Nach der Anmeldung über das Webinterface des CAG´s und der Start einer Citrix Applikation kommt es zu der Meldung:

SSL/TLS Fehler:
Sie stufen den Aussteller „Verisign Class 3 Secure Server CA“ des Sicherheitszertifikats des Servers nicht als vertrauenswürdig an.

Anschließend wird der Programmstart abgebrochen. Alle Maßnahmen, wie z.B. das Zertifikat lokal auf dem Client zu installieren usw., schlugen fehl. Ich hab mich dann mit Verisign in Verbindung gesetzt und bin zu folgender, erstaunlicher, Erkenntnis gekommen.

Es liegt an einem sogenannten Zwischen Zertifikat. Dieses Zwischenzertifikat wird von diversen Clients einfach manchmal nicht überprüft. Worum dass so ist kann ich derzeit nicht beantwortet, es ist aber definitiv so. Diese Fragen sollten wir mal an Microsoft, Mozilla oder Opera stellen.

Die Lösung dazu ist in diesem Fall allerdings relativ einfach. Einfach das korrekt „Zwischenzertifikat“ auf dem „Citrix Access Gateway“ installieren und dann sollte es funktionieren. Dies funktioniert wie folgt:

  • Das korrekte Zwischenzertifikat von folgende Seite downloaden:
    http://www.verisign.com/support/verisign-intermediate-ca/secure-site-intermediate/index.html
  • Das Zertifikat über die Zwischenablage in eine Datei kopieren und diese z.B. „intermediate.crt“ nennen.
  • Danach in der CAG Administrationskonsole das Zwischenzertifikat einspielen über
    – Administration
    – Secure Certificate Management
    – Manage trustet root certificates
    – Manage
    – Update Trusted Root Certificate
    – Dort die intermediate.crt importieren
  • Die CAG neu booten

Danach kann die CAG mit allen Vista und XP Clients korrekt umgehen, egal ob die Clients Probleme mit dem Zwischenzertifikat haben oder nicht.

Bei mir lief es anschließend problemlos, alle Clients konnten sich korrekt auf die CAG verbinden.