Ошибка: «Ошибка SSL 61: вы не выбрали доверие к центру сертификации». » в Receiver for Windows
Применимые продукты
Симптомы или ошибка
Citrix Gateway, ранее Citrix NetScaler Unified Gateway
Приложение Citrix Workspace — это новое универсальное приложение для всех служб рабочей области, которое со временем будет охватывать все клиенты Citrix и возможности приложения.
Следующие сообщения об ошибках отображаются для пользователей Receiver, получающих доступ к приложениям StoreFront или Web Interface:
«Не удается подключиться к серверу Citrix XenApp. Ошибка SSL 61: вы не выбрали доверять «центру сертификации», эмитенту сертификата безопасности сервера.»
«Полученный сертификат сервера не является доверенным (ошибка SSL 61)»
«Ваше приложение недоступно. Повторите попытку позже.»
Решение
Важно ! Эта статья предназначена для системных администраторов. Если вы столкнулись с этой проблемой и не являетесь системным администратором, обратитесь за помощью в службу поддержки вашей организации и отправьте им ссылку на эту статью.
Обновление до последней версии приемника
- Обновите Receiver до последней версии, чтобы проверить, решает ли это проблему.
- Если вы используете сертификаты SHA2, то старая версия Receiver не поддерживает эти сертификаты. См. CTX200114 — Поддержка Citrix Receiver для SHA-2, чтобы просмотреть версии Receiver, которые поддерживают сертификаты SHA-2.
Если это не решит проблему, перейдите к следующему разделу.
Информацию об обновлениях функций Receiver см. в Матрице функций Citrix Receiver.
Отсутствует корневой/промежуточный сертификат
Это сообщение об ошибке предполагает, что клиентское устройство не имеет необходимого корневого сертификата/промежуточного сертификата дляустановить доверительные отношения с центром сертификации, выдавшим сертификат сервера NetScaler Gateway.
Выполните следующие шаги, чтобы решить эту проблему:
Загрузите или получите файл корневого/промежуточного сертификата SSL (.crt/.cer), выданный вашим поставщиком сертификата SSL.
Корневой сертификат/промежуточный сертификат можно загрузить с веб-сайта поставщика сертификата SSL или получить по запросу. Обычно корневой сертификат присутствует в комплекте сертификатов, предоставляемом поставщиком услуг SSL, вместе с промежуточными и серверными сертификатами.
Если на клиентском компьютере установлен антивирус, убедитесь, что антивирус доверяет сертификату.
Этот процесс связывает ваши клиентские компьютеры с серверным компьютером и необходим, если вы не используете сертификат, проверенный коммерческим поставщиком сертификатов SSL. Большинство поставщиков коммерческих сертификатов заранее устанавливают свои сертификаты на компьютеры по соглашению с создателем операционной системы (Microsoft, Apple и т. д.).
Сертификат сервера не соответствует RFC 3280
Системному администратору может потребоваться связаться с центром сертификации, который продал неисправный сертификат, и сообщить им, что сертификат нарушает RFC 3280. Также попросите центр сертификации выдать новый сертификат, который дополнительно содержит следующее значение использования ключа. на любые другие обязательные значения:
Аутентификация сервера (1.3.6.1.5.5.7.3.1)
NetScaler Gateway действует как SSL-сервер, поэтому аутентификация сервера (1.3.6.1.5.5.7.3.1) должна быть указана среди назначенных ключей, если таковые имеются. Если в сертификате отсутствует поле «Расширенное использование ключа», сертификат может считаться действительным.
Некоторые центры сертификацииошибочно выдают сертификаты, содержащие только следующие расширения использования ключа, указывающие на поддержку криптографии, управляемой сервером (SGC):
Неизвестное использование ключа (2.16.840.1.113730.4.1)
Неизвестное использование ключа (1.3.6.1.4.1.311.10.3.3)
Эти расширения служат сигналом для веб-браузеров Netscape и Internet Explorer о необходимости согласования 128-битного шифрования независимо от обычных возможностей клиента. Они не влияют на клиент ICA. Если эти два значения являются единственными элементами, перечисленными в поле «Расширенное использование ключа», сертификат нарушает RFC 3280 и должен быть отклонен клиентами SSL, пытающимися выполнить аутентификацию сервера.
Примечание . Не во всех сертификатах, совместимых с SGC, отсутствует значение проверки подлинности сервера, и не все недействительные сертификаты совместимы с SGC.
После того, как вы получите обновленный сертификат с правильными полями использования, замените сертификат на сервере NetScaler Gateway с помощью оснастки MMC Certificates.
