Via opensuse 12.1 had ik verbinding met het netwerk van mijn bedrijf via een citrix receiver.
Sinds kort hebben ze op het netwerk wat veranderd met als gevolg dat ik de volgende melding nu krijg:
You have not chosen to trust "Comodo High-Assurance Secure Server CA (SSL error 61).
ik weet dus niet wat ik moet doen om weer lekker in dat netwerk te kunnen werken.
Wie heeft een suggestie?
Fons Toorop
On 2012-09-15 17:06, roctoo wrote:
> Wie heeft een suggestie?
If you repeat in English, I might.
–
Cheers / Saludos,
Carlos E. R.
(from 12.1 x86_64 “Asparagus” at Telcontar)
This will be moved to the Dutch section. Please do not post until moved.
Verplaatst en weer open.
Blijkbaar is men een ander SSL certificaat gaan gebruiken. Ik moet morgenavond naar een klant waar ik dit voor geregeld heb. Het zou ook nog kunnen dat je dit in KDE kunt regelen.
In deze post: [Linux Mint Forums • View topic - Mint, Citrix, Comodo certificate SOLVED} staat hoe je dit oplost.
Ik gebruik al jaren de citrix receiver onder linux om thuis te kunnen werken en ik krijg bij installatie meldingen voor nog meer certificaten die ontbreken. Maar daar maken jullie geen melding van, noch in de andere twee threads die in deze post worden genoemd. Dat het comodo certificaat mist, was voor mij een nieuwe melding, toen ik na de installatie van openSUSE 12.2 citrix wilde installeren (nieuwe versie van citrix receiver vermoed ik). Bij mij missen ook de volgende certificaten, die ik dan handmatig op de betreffende installatielocatie moet zetten:
Hoeven jullie die dan niet bij te plaatsen? Ik log overigens in via de servers van het bedrijf softwarehosting.nl.
Ik heb op de website van citrix hier jaren geleden al een opmerking over gemaakt, maar nooit een reactie gehad. Heeft iemand gemeld dat het comodo certificaat ontbreekt in het installatiepakket? Of is het niet zo vreemd als ik denk dat het is, als een bedrijf een installatiepakket distribueert, waar sommige certificaten wel in zitten en andere niet, zodat je die op internet moet zien op te sporen? Lijkt me niet het toppunt van veiligheid. Dat comodo ding haal je op van de comodo website, maar die andere twee certificaten die ik hierboven noem, kun je van verschillende, mij nietszeggende websites downloaden. Ik heb dat natuurlijk gemeld bij softwarehosting, maar hun bewering is dat dit geen beveiligingsrisico is.
Schiet mij maar lek, denk ik dan.
Ik heb een aantal jaren geleden zoiets eens moeten doen voor een SUSE gebruiker, die verbinding maakte met het hoofdkantoor van General Electrics (voor wie het niet kent, één van de grootste conglomeraten ter wereld). Die had een stuk of 13 extra certificaten nodig (vraag mij niet waarvoor). Als ik met citrix receiver iets moet, dan zoek ik dat ad hoc uit. Had een handleidinkje, nieuwe versie, veel veranderd, handleiding bijgwerkt, weer een nieuwe, weer veel veranderd.
Logica zegt mij dat aan de serverkant “gezet” wordt welke certificaten geldig zijn. Andre, heb jij al eens gekeken naar de SSL voorkeuren in KDE’s systemsettings? En in Yast Softwarebeheer gezocht op “certificat” ?
Kijk kijk, dat wist ik niet. Er gaat even een wereld voor me open.
linux-wu5j:~ # zypper se certificat
Loading repository data...
Reading installed packages...
S | Name | Summary | Type
--+--------------------------+-------------------------------------------------------------------------------+-----------
i | ca-certificates | Utilities for system wide CA certificate installation | package
| ca-certificates-cacert | CAcert root certificates | package
i | ca-certificates-mozilla | CA certificates for OpenSSL | package
| ca-certificates-mozilla | CA certificates for OpenSSL | srcpackage
| check-create-certificate | A non-interactive script that creates an SSL certificate if it does not exist | package
i | java-ca-certificates | Utilities CA certificate import to gcj | package
Via KDE systeeminstellingen heb ik voor het eerst van mijn leven geklikt op knopje SSL-voorkeuren (een groots moment dat dan weer helaas zo snel voorbij is).
Ik keek toen verbaasd naar meer dan honderd certificaten, waaronder die comodo draak en Trust certificaten, allemaal aangevinkt. En nu weet ik eigenlijk niet goed wat ik hier nu moet laten zien of rapporteren, dus dat moet je misschien nog even laten weten.
Ik denk dat ik eerst meer moet gaan snappen van SSL en certificaten, om hier heel veel zinnigers over te kunnen zeggen. Als iemand hier inzicht in kan brengen, fijn
Kloppen die broncodes en versies in jouw installatie van 12.1
Dit heb ik gevonden op het comodo forum, kan je daar wat mee?
SSL Certificate not trusted
|](http://forums.comodo.com/ssl-certificate/ssl-certificate-not-trusted-t64861.0.html)
|
|
|
|
Hoi Fons, heb je je probleem al opgelost met de suggesties hierboven aangereikt? Op de link naar comodo die in de Ubuntu Thread wordt aangereikt, staan inderdaad een aantal certificaten. Ik hoop we dat je weet welke je nodig hebt.
Overigens kan de opslaglocatie van de cacerts op je pc anders zijn, dan wordt vermeld in de Ubuntu Thread. Daar wordt als opslaglocatie voor het comodo certificate genoemd:
/usr/lib/ICAClient/keystore
Ik heb de Citrix receiver zelf geïnstalleerd mbv de drivers van Citrix Systems – Powering Mobile Workstyles and Cloud Services. en ik installeer dat dan in /opt. Mijn opslaglocatie voor cacerts is:
/opt/Citrix/ICAClient/keystore/cacerts/
Daar staan alle certificaten die ik nodig heb om met hulp van de citric icaclient in te loggen op mijn werk. Ik denk dus dat je even moet checken waar bij jouw /ICAClient/keystore/cacerts in je systeem staat. Daar kun je dan het benodigde comodo cacert plaatsen. Dan zou je weer moeten kunnen inloggen.
Ook is er nog het pakket ca-certificates-cacert-1-10.1.1.noarch , geen idee of dat nog iets kan bijdragen
Op het Engelstalig forum is ook een Citrix probleem sinds gisteren met een mogelijke oplossing?
Hm, tsja. De openmotif library en openmotif zelf, bevinden zich al in de OpenSUSE-12.2-Non-Oss repo. Met een hogere versie dan die in de bovengenoemde thread.
Misschien is het beter als degeen die deze thread start eerst aangeeft, wat hij nu precies heeft geïnstalleerd en of hij het blijkbaar ontbrekende certificaat van comodo.com nu heeft gedownload en in de juiste map heeft gezet.
Fons, ben je er nog?
Oké. Fons is blijkbaar even off the grid. Dan kan ik in de tussentijd posten wat ik heb bereikt. De in mijn ogen grote aantallen certificaten waar ik eerder in deze thread van repte, zijn terug te voeren op dit pakket:
ca-certificates-mozilla
Deze certificaten staan allemaal in deze map:
/usr/share/ca-certificates/mozilla/
Ik heb het volgende geprobeerd. In deze directory van de citrix receiver installatie
/opt/Citrix/ICAClient/keystore/cacerts/
staan de certificaten die deels zijn mee geleverd met de rpm van citrix, opgehaald van de website Citrix Systems – Powering Mobile Workstyles and Cloud Services. en deels er door mij zijn ingezet vanaf voor mij onbekende websites (wat ik onveilig vind: ik kan de inhoud van die certificaten niet beoordelen op veiligheid).
Ik heb de map /opt/Citrix/ICAClient/keystore/cacerts veranderd in /opt/Citrix/ICAClient/keystore/cacerts.bc. Daarna een nieuwe map /opt/Citrix/ICAClient/keystore/cacerts aangemaakt en daar alle certificaten ingekopieerd vanaf /usr/share/ca-certificates/mozilla/.
En het werkt ook nog! Ik kan in alle applicaties van mijn werk die door middel van de citrix receiver worden gehost. Omdat hier ook een aantal comodo certificaten bijzitten, denk ik dat Fons hier ook mee geholpen kan zijn.
Heren, dankzij jullie input is er bij mij een kwartje gevallen en mijn dank is groot (buigsmiley).
Wat kan ik zeggen, dan “wauw”. Eigenlijk zou de Citrix client voor linux netjes in de mozilla map horen te kijken, vind je ook niet? Symlinken is ook een mogelijkheid, maar niet netjes i.v.m. updaten Ik weet dat deze problematiek zich ook bij andere linux distros voordoet. Als ik weer bij mijn klant kom, wil ik hier zeker eens een testje aan wagen.
Eigenlijk zou citrix veel meer certificaten moeten leveren, maar de ondersteuning voor Linux is niet iets waar ik warm van wordt. De handleiding die wordt geleverd in pdf is wel heel uitgebreid (maar dat van die certificaten staat er volgens mij niet in).
Ja, het moet in een andere situatie ook worden getest. Dan weten we meer. Ik vraag mij daarnaast ook af er een configuratiebestand is in de citrix installatiemap waarin je kunt instellen waar het programma kijkt naar de locaties met cacerts.
Een zoektocht op Google leverde mij echter niets op.
Je zou eens dit kunnen proberen, als je uitleg nodig hebt, vraag gerust
cd /opt/Citrix/ICAClient/keystore
su
mv cacerts cacerts.orig
ln -s /usr/share/ca-certificates/mozilla/ cacerts
Je ziet dan in die map
lrwxrwxrwx 1 root root 35 8 nov 16:31 cacerts -> /usr/share/ca-certificates/mozilla/
drwxr-xr-x 2 root root 4096 8 nov 16:10 cacerts.orig
Het kan natuurlijk zijn, dat Citrix het volgen van symlinks niet ondersteund of blokkeert, maar dit zou moeten werken, toch? Kan het zelf niet testen.
Ik heb gedaan wat je hierboven hebt geschetst. Inderdaad heel logisch. En het werkt! Voortaan werkt CITRIX dus altijd met de meest recente certificaten. Ik vind dit echt een geweldige verbetering.