Citrix Workspace App auf Linux Mint: SSL Error 61

[UwePwa]

Hallo,
ich habe mich extra hier angemeldet und hoffe, mir kann jemand helfen. Vorweg: Ich bin eher ein Linux Anfänger!

Ich nutze Linux Mint Cinnamon 21.1 auf meinem Packard Pell Laptop.
Für die Arbeit benötige ich die Citrix Workspace App. Allerdings läuft bei mir nur noch Version 22.07 (erschien im Sommer 2022). Bei allen darauf folgenden Versionen erhalte ich eine Fehlermeldung beim Starten des Citrix-Clients.
Die Fehlermeldung lautet: Fehler 61 Sie stufen den Aussteller USERTrust RSA Certification Authority des Sicherheitszertifikats des Servers nicht als Vertrauenswürdig ein.

Mein Arbeitgeber teilt mir folgendes mit:

Technische Lösung​

Bei dem Fehler SSL 61 müssen Sie an ihrem Privaten PC das Öffentliche Zertifikat erneuern.

Das geht z.B. über das Windows Update.

Bitte überprüfen, ob der private PC die Vorraussetzungen erfüllt.

Eine andere Möglichkeit finden Sie auf der Seite https://support.citrix.com/article/CTX101990

Windows Update bringt mir natürlich wenig. Und der Link zum citrix support ist für mich auch nicht hilfreich, keine Ahnung, was ich da genau tun muss.
ich hatte das Problem übrigens früher schon mal, da hat folgende Lösung geholfen:
sudo ln -s /usr/share/ca-certificates/mozilla/* /opt/Citrix/ICAClient/keystore/cacerts
Quelle: https://code-bude.net/2017/05/03/ssl-fehler-61-in-citrix-web-receiver-unter-linux-beheben/

Das bringt nun aber nichts mehr. Ich bekomme immer die Meldung (ein Beispiel): "Die symbolische Verknüpfung '/opt/Citrix/ICAClient/keystore/cacerts/UCA_Global_G2_Root.crt' konnte nicht angelegt werden: Die Datei existiert bereits."


Ich bin ziemlich verzweifelt. Ich bin auf Citrix angewiesen und mein AG meint, ich müsste zusehen, dass neuere Citrix Versionen bei mir laufen, weil er könne nicht sicherstellen, dass die Version vom Sommer 2022 noch lange läuft.
Das würde bedeutet, ich müsste wieder auf Windows umstellen, was natürlich mit erheblichem Aufwand verbunden ist und ich auch grundsätzlich eher vermeiden möchte.

Vielleicht kann mir jemand helfen?

LG
UWE

 

[kartoffelpü]

Ich hab u.A. noch die Artikel gefunden:
https://support.citrix.com/article/...t-certificate-authority-on-receiver-for-linux
https://support.citrix.com/article/...e-app-for-linux-how-to-trust-a-ca-certificate
https://discussions.citrix.com/topic/417466-citrix-workspace-linux-229021-ssl-error/

 

[netzgestaltung]

Ich hab das auch schon gehabt ev find ich die lösung noch

Ergänzung (22. Februar 2023)

ich glaube das war es, du kannst im FF das richtige Zertifikat auf der Seite runterlanden, die du zum Login nutzt: https://ask.fedoraproject.org/t/how-to-install-citrix-workspace-on-fedora-33/12129

Step 3: Download your Employers Certificates:

3a) Go to your employers Citrix website
3b) View your employers Citrix certificates in Firefox by clicking the lock next to the address bar then selecting “View Certificate”.
3c) Download the “PEM (cert)” and “PEM (chain)” certificates.
3d) Switch to root user (or use sudo) and copy the .crt CA certificate files to /opt/Citrix/ICAClient/keystore/cacerts/ folder.

der Ordner /opt/Citrix/ICAClient/keystore/cacerts/ kann sich bei Mint natürlich unterscheiden.

 

[TheDev]

Führe nachdem du die neue Version installiert hast mal diese Schritte, insbesondere Schritt 5 (der ist wichtig, auch wenn vorher ein Datei existiert bereits kommt) aus:

https://support.citrix.com/article/...e-app-for-linux-how-to-trust-a-ca-certificate

 

[develerik_dev]

Ich schmeiße mal einen Link zum Arch Wiki hier rein, vielleicht hilft es ja:
https://wiki.archlinux.org/title/citrix#TLS/SSL_Certificates

 

[UwePwa]

Ich hab jetzt das gemacht, was in Beitrag #3 steht, also zumindest denke ich, dass ich das richtig gemacht habe: Die Login Seite aufgerufen, dann oben neben der Adresszeile auf das Schloss symbol, dann auf weitere Informationen, und dann kann ich unter "Sicherheit" das Zertifikat anzeigen. Ist eine PEM Datei, die lade ich runter und ändere.pem zu .crt, richtig? Dann kopiere ich sie in den Ordner.
Dann den Client gestartet: Weiterhin Error 61.

Dann hab ich, wie in #4 beschrieben folgendes ausgeführt:

EasyNote-TJ65:~/Downloads$ /opt/Citrix/ICAClient/util/ctx_rehash
Processing /opt/Citrix/ICAClient/keystore/cacerts
Found a duplicate of "Baltimore_CyberTrust_Root.crt" skipping "BTCTRoot.pem"
Found a duplicate of "DigiCert_Global_Root_CA.crt" skipping "DigiCertGlobalRootCA.pem"
Found a duplicate of "Amazon_Root_CA_1.crt" skipping "AmazonRootCA1.pem"
Found a duplicate of "DigiCert_Global_Root_G2.crt" skipping "DigiCertGlobalRootG2.pem"
Found a duplicate of "GlobalSign_Root_CA_-_R3.crt" skipping "GSR3.pem"

Hab ich das richtig gemacht?
Bekomme weiterhin den Error 61.

Ergänzung (22. Februar 2023)

Noch was: Beim Überschreiben des ica clients erscheint folgendes:

sudo dpkg -i icaclient_23.2.0.10_amd64.deb
(Lese Datenbank ... 415092 Dateien und Verzeichnisse sind derzeit installiert.)
Vorbereitung zum Entpacken von icaclient_23.2.0.10_amd64.deb ...
Warning: The unit file, source configuration file or drop-ins of ctxlogd.service changed on disk. Run 'systemctl daemon-reload' to reload units.
Removed /etc/systemd/system/multi-user.target.wants/ctxlogd.service.
Entpacken von icaclient (23.2.0.10) über (22.7.0.20) ...
icaclient (23.2.0.10) wird eingerichtet ...
Neue Version der Konfigurationsdatei /etc/icaclient/config/All_Regions.ini wird installiert ...

Konfigurationsdatei »/etc/icaclient/nls/de/module.ini«
==> Geändert (von Ihnen oder von einem Skript) seit der Installation.
==> Paketverteiler hat eine aktualisierte Version herausgegeben.
Wie möchten Sie vorgehen? Ihre Wahlmöglichkeiten sind:
Y oder I : Die Version des Paket-Betreuers installieren
N oder O : Die momentan installierte Version beibehalten
D : Die Unterschiede zwischen den Versionen anzeigen
Z : Eine Shell starten, um die Situation zu begutachten
Der Standardweg ist das Beibehalten der momentanen Version.
*** module.ini (Y/I/N/O/D/Z) [Vorgabe=N] ? N

Wähle ich N oder was anderes?

 

[derlorenz]

Du musst das Zertifikat deines Unternehmens hinzufügen.

Also am besten mal an deine IT-Abteilung wenden.

 

[netzgestaltung]

Hab ich das richtig gemacht?

also umbenannt sollte da nichts werden, nur kopiert.

 

[UwePwa]

Aber im Link von #5 steht:

• Download CA certificate in PEM format.
• Save the certificate with .crt file extension.

Die heruntergeladene Datei endet auf .pem

 

[foofoobar]

Das Geraffel von Citrix sucht nur nach *.pem in /opt/Citrix/ICAClient/keystore/cacerts
In /usr/share/ca-certificates/mozilla/ haben die Root-CAs die Endung *.crt.

Das mit dem rehash kann man sich schenken.

 

[I-Team]

Da sich meine User am Donnerstag mit dem gleichen Problem rumschlugen, fand ich auch gestern folgende Lösung für uns.

Eventuell hilft dir das auch, falls du das Problem nicht schon längst gelöst hast.

Ich habe einfach den SSL-Zertifikatsspeicher unserer Debian-Distribution verwendet. Da vertraue ich eher auf die Distributions-Maintainer als auf die Citrix Hinterlassenschaften. Die gingen mir schon länger auf die Nerven.

Ich löschte vorher die vorhandenen Zertifikate.

1. cd /opt/Citrix/ICAClient/keystore/cacerts/

2. sudo rm *.*

Anschließend habe ich die systemeigenen Zertifikate in Citrix rüber kopiert.

1. sudo cp /etc/ssl/certs/. /opt/Citrix/ICAClient/keystore/cacerts/

2. sudo chmod -R 555 /opt/Citrix/ICAClient/keystore/cacerts

Starte das System neu und versuche dich anzumelden.

 

[foofoobar]

Ich habe einfach den SSL-Zertifikatsspeicher unserer Debian-Distribution verwendet. Da vertraue ich eher auf die Distributions-Maintainer als auf die Citrix Hinterlassenschaften. Die gingen mir schon länger auf die Nerven.

Dort liegen die Root-CAs mit der Endung *.pem welche von dem Citrix-Kram auch gefunden werden, im Gegensatz zu dem Mozilla-Kram wo die Root-CAs die Endung *.crt haben.

Das der Citrix-Kram nur *.pem Files liest kann mit strace wunderbar nachvollzogen werden.

Starte das System neu und versuche dich anzumelden.

Es braucht keinen Reboot.

 

[I-Team]

Danke für deine Ergänzungen.
In Bezug auf Reboot, da habe ich meine eigenen Erfahrungen mit den Endusern. War jetzt hier wahrscheinlich als Hinweis nicht nötig, ist nur Angewohnheit.
In meinem Fall empfehle ich den Usern den Reboot bis der Notarzt kommt.
Kann weniger schaden als sich in ewige Diskussionen zu verzetteln.

 

[UwePwa]

Eventuell hilft dir das auch, falls du das Problem nicht schon längst gelöst hast.

Leider hab ich es noch nicht hinbekommen.

Anschließend habe ich die systemeigenen Zertifikate in Citrix rüber kopiert.

Bei 1. bekomme ich folgende Fehlermeldung:

sudo cp /etc/ssl/certs/. /opt/Citrix/ICAClient/keystore/cacerts/
cp: -r wurde nicht angegeben, daher wird das Verzeichnis '/etc/ssl/certs/.' ausgelassen

Kannst du mir da weiterhelfen?

Ergänzung (10. März 2023)

ich habe es nun hinbekommen, so wie in #11 beschrieben. Den Inhalt von /etc/ssl/certs/ hab ich im Browser nach /opt/Citrix/ICAClient/keystore/cacerts/ kopiert. Und schwupps, Citrix startet

Danke noch mal an alle beteiligten!

PS:

sudo chmod -R 555 /opt/Citrix/ICAClient/keystore/cacerts

Das habe ich ausgelassen. Ist das wichtig?

 

[I-Team]

Hi UwePwa, das war mein Fehler. Habe es leider nicht gesehen, dass Teil des Eintrags so hätte lauten
sudo cp /etc/ssl/certs/. /opt/Citrix/ICAClient/keystore/cacerts/
sollen.
Die Sternchen fehlten. 😢 Hast es aber ja schon sehr 👍 hinbekommen.

chmod 555 ist nur dafür da um dich im Nachgang vor versehntlicher Veränderungen an den Zertifikaten zu schützen. Kannst es ja auch lassen. ☺️