Zertifikatsprobleme bei Vista und XP beheben (SSL/TLS Fehler)

Heute möchte ich über ein aktuelle Problembehebung berichtet, die mich schon länger beschäftigte. Es gibt teilweise massive Probleme, wenn sich Windows XP oder Windows Vista Clients mit einem Citrix Access Gateway über eine SSL Verbindung konnekten möchten. Warum auch immer kommt es nur bei bestimmten PC´s zu den nachfolgend beschriebenen Problemen. Es liegt definitiv nicht an unterschiedlichen Windows Versionen bzw. an der Hardware.

Nach der Anmeldung über das Webinterface des CAG´s und der Start einer Citrix Applikation kommt es zu der Meldung:

SSL/TLS Fehler:
Sie stufen den Aussteller „Verisign Class 3 Secure Server CA“ des Sicherheitszertifikats des Servers nicht als vertrauenswürdig an.

Anschließend wird der Programmstart abgebrochen. Alle Maßnahmen, wie z.B. das Zertifikat lokal auf dem Client zu installieren usw., schlugen fehl. Ich hab mich dann mit Verisign in Verbindung gesetzt und bin zu folgender, erstaunlicher, Erkenntnis gekommen.

Es liegt an einem sogenannten Zwischen Zertifikat. Dieses Zwischenzertifikat wird von diversen Clients einfach manchmal nicht überprüft. Worum dass so ist kann ich derzeit nicht beantwortet, es ist aber definitiv so. Diese Fragen sollten wir mal an Microsoft, Mozilla oder Opera stellen.

Die Lösung dazu ist in diesem Fall allerdings relativ einfach. Einfach das korrekt „Zwischenzertifikat“ auf dem „Citrix Access Gateway“ installieren und dann sollte es funktionieren. Dies funktioniert wie folgt:

  • Das korrekte Zwischenzertifikat von folgende Seite downloaden:
    http://www.verisign.com/support/verisign-intermediate-ca/secure-site-intermediate/index.html
  • Das Zertifikat über die Zwischenablage in eine Datei kopieren und diese z.B. „intermediate.crt“ nennen.
  • Danach in der CAG Administrationskonsole das Zwischenzertifikat einspielen über
    – Administration
    – Secure Certificate Management
    – Manage trustet root certificates
    – Manage
    – Update Trusted Root Certificate
    – Dort die intermediate.crt importieren
  • Die CAG neu booten

Danach kann die CAG mit allen Vista und XP Clients korrekt umgehen, egal ob die Clients Probleme mit dem Zwischenzertifikat haben oder nicht.

Bei mir lief es anschließend problemlos, alle Clients konnten sich korrekt auf die CAG verbinden.

3 Kommentare

  1. Reinhold
    Dezember 3, 2009 zu 4:00 pm

    Zwischenzertifikat??? Was soll das bitte sein. Ich versteh das mit den ganzen Zertifikaten auch überhaupt nicht, dass ist alles total unverständlich und umständlich. Warum kann man das nicht einfacher machen?? Man kann nur froh sein wenn man kein Ärger mit Zertifikaten hat. Sei froh dass es bei Dir nun läuft.
    Reinhold

  2. Jaska
    Dezember 3, 2009 zu 5:12 pm

    Nachfolgend eine Erklärung der Zwischenzertifikate. Zertifikate werden teilweise nicht direkt unter einem Root-Zertifikat ausgestellt sondern in diesem Fall unter einem sogenannten Zwischenzertifikat, welches anschließend zwischen dem eigentlichen Endpunkt-Zertifikat und dem Root-Zertifikat steht.

    Es kann durchaus auch sein dass es mehrere Zwischenzertifikate zwischen dem Endpunkt- und dem Root-Zertifikat gibt. Einige Zertifizierungsstellen führen dies durch um günstigere Preise für deren Zertifikate anbieten zu können. Dadurch müssen sie keine teuren Stammzertifizierungsstelle unterhalten. Zusammen mit diesen Zwischenzertifikaten ergibt sich ein sogenannter Zertifizierungspfad an dessen oberem Ende das Root-Zertifikat und an dessen unterem Ende das beantragte Zertifikat steht.

    Dieser Pfad muss durch die einmalige Installation der Zwischenzertifikate auf dem Server abgebildet werden. Die Internet Browser erhalten dann beim Aufruf einer zwischenzertifizierten Website alle notwendigen Zertifikate vom Server übermittelt, um ebenfalls den vollständigen Pfad abbilden und verifizieren zu können.

    Somit wird das Zertifikat von den genannten Browsern ohne weitere Bestätigung und ohne manuelle Installation von Zertifikaten auf Anwenderseite erkannt und unterstützt.

    Ich hoffe ich konnte zur Aufklärung beitragen!!!!!
    Viele Grüße
    Jaska

  3. stefan
    März 3, 2010 zu 3:44 am

    Ok ok.. aber kann man den ganzen Scheiss clientseitig nicht einfach abschalten?

Hinterlasse ein Kommentar