Voraussetzungen für die Installation der Citrix Workspace-App

Systemanforderungen und Kompatibilität

Systemanforderungen finden Sie in der folgenden Liste:

Bild der Systemanforderungen für Hardware Bild der Systemanforderungen für Bibliotheken Bild der Systemanforderungen für Komponenten 1 Bild der Systemanforderungen für Komponenten 2 Bild der Systemanforderungen für Komponenten 3

* Nach Veröffentlichung von Release 1910 funktioniert die Citrix Workspace-App für Linux möglicherweise nicht wie erwartet, wenn das Betriebssystem die folgenden GCC-Versionskriterien nicht erfüllt:

  • GCC-Version für x64-Architektur: 4.8 oder höher
  • GCC-Version für ARMHF-Architektur: 4.9 oder höher

Kompatibilitätsmatrix

Die Citrix Workspace-App für Linux ist mit allen derzeit unterstützten Versionen der folgenden Citrix-Produkte kompatibel. Weitere Informationen zum Citrix Produktlebenszyklus und wann Citrix die Unterstützung bestimmter Produktversionen beendet, finden Sie unter Citrix Product Lifecycle Matrix.

Serveranforderungen

StoreFront

  • Sie können alle derzeit unterstützten Versionen der Citrix Workspace-App für den Zugriff auf StoreFront-Stores über interne Netzwerkverbindungen und über Citrix Gateway verwenden:
    • StoreFront 1912
    • StoreFront 1909
    • StoreFront 1906
    • StoreFront 1903
    • StoreFront 1811
    • StoreFront 3.16
    • StoreFront 3.12
    • StoreFront 3.0

    Informationen zu Lebenszyklusterminen für Citrix Workspace-Apps und Citrix Receiver finden Sie unter Lebenszyklusmeilensteine für Citrix Workspace-App und Citrix Receiver.

  • Sie können StoreFront verwenden, das mit Workspace für Web konfiguriert wurde. Der Workspace für Web ermöglicht den Zugriff auf StoreFront-Stores über einen Webbrowser. Weitere Informationen zu den Beschränkungen dieser Bereitstellung finden Sie unter Wichtige Überlegungen in der StoreFront-Dokumentation.

Webinterface

Webinterface mit dem NetScaler VPN-Client:

  • Webinterface 5.4 für Windows mit Webinterface-Sites

    Bietet Zugriff auf virtuelle Desktops und Apps über einen Webbrowser.

  • Webinterface 5.4 für Linux mit XenApp Services- oder Citrix Virtual Desktops Service-Sites

Verbindungen und Zertifikate

Verbindungen

Die Citrix Workspace-App für Linux unterstützt HTTPS- und ICA-über-TLS-Verbindungen über folgende Konfigurationen.

  • LAN-Verbindungen:

    • StoreFront mit StoreFront Services oder Workspace für Web
    • Webinterface 5.4 für Windows mit Webinterface oder XenApp Services
  • Für sichere Remote- oder lokale Verbindungen:

    • Citrix Gateway 12.0
    • NetScaler Gateway 10.1 und höher
    • NetScaler Access Gateway Enterprise Edition 10
    • NetScaler Access Gateway Enterprise Edition 9.x
    • NetScaler Access Gateway VPX

    Weitere Informationen zu den von StoreFront unterstützten Citrix Gateway-Versionen finden Sie unter den Systemanforderungen von StoreFront.

Zertifikate

Verwenden Sie die folgenden Zertifikate, um sichere Transaktionen zwischen Server und Client sicherzustellen:

Private (selbstsignierte) Zertifikate

Wenn ein privates Zertifikat auf dem Remotegateway installiert ist, muss das Stammzertifikat der Zertifizierungsstelle des Unternehmens auf dem Benutzergerät installiert sein, um mit der Citrix Workspace-App auf Citrix Ressourcen zuzugreifen.

Hinweis:

Wenn das Zertifikat des Remotegateways beim Herstellen der Verbindung nicht verifiziert werden kann (da das Stammzertifikat nicht im lokalen Schlüsselspeicher vorhanden ist), wird eine Warnung über ein nicht vertrauenswürdiges Zertifikat angezeigt. Wenn der Benutzer weiterarbeitet, werden die Apps angezeigt, können jedoch nicht gestartet werden. Das Stammzertifikat muss im Zertifikatspeicher des Clients installiert werden.

Stammzertifikate

Für in Domänen eingebundene Maschinen können Sie ZS-Zertifikate mit der administrativen Gruppenrichtlinienobjektvorlage verteilen und als vertrauenswürdig einstufen.

Für nicht domänengebundene Maschinen können Unternehmen ein benutzerdefiniertes Installationspaket erstellen und damit das Zertifikat der Zertifizierungsstelle verteilen und installieren. Wenden Sie sich bei Fragen an den Systemadministrator.

Installieren von Stammzertifikaten auf Benutzergeräten

Zur Verwendung von TLS benötigen Sie ein Stammzertifikat auf dem Benutzergerät, das die Signatur der Zertifizierungsstelle auf dem Serverzertifikat überprüfen kann. Standardmäßig unterstützt die Citrix Workspace-App die folgenden Zertifikate.

Zertifikat Zertifizierungsstelle
Class4PCA_G2_v2.pem VeriSign Trust Network
Class3PCA_G2_v2.pem VeriSign Trust Network
BTCTRoot.pem Baltimore Cyber Trust Root
GTECTGlobalRoot.pem GTE Cyber Trust Global Root
Pcs3ss_v4.pem Class 3 Public Primary Certification Authority
GeoTrust_Global_CA.pem GeoTrust
DigiCertGlobalRootCA.pem DigiCert Global Root CA

Für die Verwendung der Zertifikate von diesen Zertifizierungsstellen ist es nicht erforderlich, Stammzertifikate zu beziehen und auf dem Benutzergerät zu installieren. Wenn Sie sich jedoch entscheiden, eine andere Zertifizierungsstelle zu verwenden, müssen Sie ein Stammzertifikat dieser Zertifizierungsstelle haben und es auf jedem Benutzergerät installieren.

Die Citrix Workspace-App für Linux unterstützt RSA-Schlüssellängen von 1024, 2048 und 3072 Bits. Darüber hinaus werden Stammzertifikate mit RSA-Schlüsseln von 4096 Bits Länge unterstützt.

Hinweis:

Die Citrix Workspace-App für Linux 1808 und höher verwendet das Tool ctx_rehash wie in den folgenden Schritten beschrieben.

Wenn Sie ein Serverzertifikat authentifizieren, das von einer Zertifizierungsstelle ausgestellt wurde und dem vom Benutzergerät noch nicht vertraut wird, befolgen Sie die nachfolgenden Anweisungen, bevor Sie einen StoreFront-Store hinzufügen.

  1. Beziehen Sie das Stammzertifikat im PEM-Format. Tipp: Wenn Sie kein Zertifikat in diesem Format finden, konvertieren Sie mit dem Hilfsprogramm openssl ein Zertifikat im CRT-Format in eine PEM-Datei.
  2. Als Benutzer, der das Paket installiert hat (normalerweise root):
    1. Kopieren Sie die Datei in $ICAROOT/keystore/cacerts.

    2. Führen Sie den folgenden Befehl aus:

      $ICAROOT/util/ctx_rehash

Zertifikate mit Platzhalterzeichen

Zertifikate mit Platzhalterzeichen werden statt einzelner Serverzertifikate für jeden Server in derselben Domäne verwendet. Die Citrix Workspace-App für Linux unterstützt Zertifikate mit Platzhalterzeichen. Diese sollten jedoch nur gemäß den jeweils gültigen Sicherheitsrichtlinien verwendet werden. In der Praxis kann die Verwendung von Alternativen, z. B. von Zertifikaten mit einer Liste der Servernamen in der Subject Alternative Name-Erweiterung, in Betracht gezogen werden. Solche Zertifikate können von privaten und öffentlichen Zertifizierungsstellen ausgestellt werden.

Zwischenzertifikate und Citrix Gateway

Wenn die Zertifikatkette ein Zwischenzertifikat enthält, muss das Zwischenzertifikat dem Citrix Gateway-Serverzertifikat angehängt werden. Weitere Informationen finden Sie unter Konfigurieren von Zwischenzertifikaten in der Dokumentation zu Citrix Gateway.

Wenn der StoreFront-Server keine Zwischenzertifikate bereitstellen kann, die dem verwendeten Zertifikat entsprechen, oder wenn Sie Zwischenzertifikate für die Unterstützung von Smartcard-Benutzern installieren, führen Sie diese Schritte aus, bevor Sie einen StoreFront-Store hinzufügen.

  1. Besorgen Sie sich die einzelnen Zwischenzertifikate im PEM-Format.

    Tipp:

    Wenn Sie kein Zertifikat im PEM-Format finden, konvertieren Sie mit dem Hilfsprogramm openssl ein Zertifikat im CRT-Format in eine PEM-Datei.

  2. Installieren Sie als Benutzer das Paket (normalerweise root):

    1. Kopieren Sie eine oder mehrere Dateien zu $ICAROOT/keystore/intcerts.

    2. Führen Sie den folgenden Befehl als Benutzer, der das Paket installiert hat, aus:

      $ICAROOT/util/ctx_rehash

Richtlinie für die Überprüfung gemeinsamer Serverzertifikate

Die Citrix Workspace-App für Linux hat eine strenge Validierungsrichtlinie für Serverzertifikate.

Wichtig:

Bestätigen Sie vor der Installation der Citrix Workspace-App für Linux, dass die Zertifikate auf dem Server oder Gateway wie hier beschrieben konfiguriert sind. Aufgrund folgender Ursachen können Verbindungen fehlschlagen:

  • Die Server- oder Gatewaykonfiguration enthält ein falsches Stammzertifikat
  • Die Server- oder Gatewaykonfiguration enthält nicht alle Zwischenzertifikate
  • Die Server- oder Gatewaykonfiguration enthält ein abgelaufenes oder anderweitig ungültiges Zwischenzertifikat
  • Die Server- oder Gatewaykonfiguration enthält ein übergreifendes Zwischenzertifikat

Beim Validieren eines Serverzertifikats verwendet die Citrix Workspace-App für Linux jetzt alle Zertifikate, die vom Server oder Gateway bereitgestellt werden. Wie in früheren Releases der Citrix Workspace-App für Linux wird dann auch überprüft, ob die Zertifikate vertrauenswürdig sind. Wenn nicht alle Zertifikate vertrauenswürdig sind, schlägt die Verbindung fehl.

Diese Richtlinie ist strenger als die Zertifikatrichtlinie in Webbrowsern. Viele Webbrowser enthalten eine große Anzahl Stammzertifikate, denen sie vertrauen.

Der Server bzw. das Gateway muss mit den richtigen Zertifikaten konfiguriert sein. Sind nicht die richtigen Zertifikate vorhanden, schlägt die Verbindung der Citrix Workspace-App für Linux u. U. fehl.

Angenommen, ein Gateway ist mit gültigen Zertifikaten konfiguriert. Diese Konfiguration wird für Kunden empfohlen, die eine strengere Validierung benötigen. Dabei wird genau ermittelt, welches Stammzertifikat die Citrix Workspace-App für Linux verwendet:

  • “Beispielserverzertifikat”

  • “Beispielzwischenzertifikat”

  • “Beispielstammzertifikat”

Die Citrix Workspace-App für Linux überprüft dann, ob alle Zertifikate gültig sind. Die Citrix Workspace-App für Linux überprüft ebenfalls, ob dem “Beispielstammzertifikat” bereits vertraut wird. Wenn die Citrix Workspace-App für Linux dem “Beispielstammzertifikat” nicht vertraut, schlägt die Verbindung fehl.

Wichtig:

  • Einige Zertifizierungsstellen haben mehr als ein Stammzertifikat. Wenn Sie diese strengere Validierung benötigen, stellen Sie sicher, dass Ihre Konfiguration das entsprechende Stammzertifikat verwendet. Beispielsweise gibt es derzeit zwei Zertifikate (“DigiCert”/”GTE CyberTrust Global Root” und “DigiCert Baltimore Root”/”Baltimore CyberTrust Root”), mit denen die gleichen Serverzertifikate validiert werden können. Auf einigen Benutzergeräten sind beide Stammzertifikate verfügbar. Auf anderen Geräten ist nur eins verfügbar (“DigiCert Baltimore Root”/”Baltimore CyberTrust Root”). Wenn Sie “GTE CyberTrust Global Root” auf dem Gateway konfigurieren, schlagen die Citrix Workspace-App für Linux-Verbindungen auf diesen Benutzergeräten fehl. Aus der Dokumentation der Zertifizierungsstelle erfahren Sie, welches Stammzertifikat zu verwenden ist. Beachten Sie außerdem, dass Stammzertifikate, wie alle Zertifikate, irgendwann ablaufen.
  • Einige Server und Gateways senden nie das Stammzertifikat, selbst wenn es konfiguriert ist. Ein strengere Validierung ist dann nicht möglich.

Angenommen, ein Gateway ist mit diesen gültigen Zertifikaten konfiguriert. Wir empfehlen die folgende Konfiguration ohne das Stammzertifikat:

  • “Beispielserverzertifikat”

  • “Beispielzwischenzertifikat”

Die Citrix Workspace-App für Linux verwendet dann diese beiden Zertifikate. Dann sucht die App nach einem Stammzertifikat auf dem Benutzergerät. Wird ein gültiges Zertifikat gefunden, das auch vertrauenswürdig ist (z. B. “Beispielstammzertifikat”), ist die Verbindung erfolgreich. Andernfalls schlägt die Verbindung fehl. Diese Konfiguration stellt der Citrix Workspace-App für Linux das benötigte Zwischenzertifikat zur Verfügung und ermöglicht auch die Wahl eines gültigen, vertrauenswürdigen Stammzertifikats.

Nehmen wir nun an, ein Gateway ist mit den folgenden Zertifikaten konfiguriert:

  • “Beispielserverzertifikat”

  • “Beispielzwischenzertifikat”

  • “Falsches Stammzertifikat”

Ein Webbrowser ignoriert eventuell das falsche Stammzertifikat. Die Citrix Workspace-App für Linux ignoriert das falsche Stammzertifikat jedoch nicht und die Verbindung schlägt fehl.

Einige Zertifizierungsstellen verwenden mehr als ein Zwischenzertifikat. In diesem Fall ist das Gateway normalerweise wie folgt mit allen Zwischenzertifikaten konfiguriert, jedoch nicht mit dem Stammzertifikat:

  • “Beispielserverzertifikat”

  • “Beispielzwischenzertifikat 1”

  • “Beispielzwischenzertifikat 2”

Wichtig:

  • Einige Zertifizierungsstellen verwenden ein übergreifendes Zwischenzertifikat. Dies ist für Situationen vorgesehen, wenn mehr als ein Stammzertifikat vorhanden ist und ein früher ausgestelltes Stammzertifikat zur gleichen Zeit wie ein später ausgestelltes Stammzertifikat verwendet wird. In diesem Fall sind mindestens zwei Zwischenzertifikate vorhanden. Beispielsweise hat das früher ausgestellte Stammzertifikat “Class 3 Public Primary Certification Authority” das entsprechende übergreifende Zwischenzertifikat “VeriSign Class 3 Public Primary Certification Authority - G5”. Ein entsprechendes später ausgestelltes Stammzertifikat “VeriSign Class 3 Public Primary Certification Authority - G5” ist ebenfalls verfügbar und es ersetzt “Class 3 Public Primary Certification Authority”. Das später ausgestellte Stammzertifikat verwendet kein übergreifendes Zwischenzertifikat.
  • Das übergreifende Zwischenzertifikat und das Stammzertifikat haben den gleichen Antragstellernamen (Ausgestellt an). Das übergreifende Zwischenzertifikat hat jedoch einen anderen Ausstellernamen (Ausgestellt durch). Dadurch unterscheidet sich das übergreifende Zwischenzertifikat von einem normalen Zwischenzertifikat wie “Beispielzwischenzertifikat 2”.

Normalerweise empfiehlt sich die folgende Konfiguration ohne das Stammzertifikat und das übergreifende Zwischenzertifikat:

  • “Beispielserverzertifikat”

  • “Beispielzwischenzertifikat”

Konfigurieren Sie das Gateway nicht für die Verwendung des übergreifenden Zwischenzertifikats, weil es sonst das früher ausgestellte Stammzertifikat auswählt:

  • “Beispielserverzertifikat”

  • “Beispielzwischenzertifikat”

  • “Übergreifendes Beispielzwischenzertifikat” [nicht empfohlen]

Es wird nicht empfohlen, das Gateway nur mit dem Serverzertifikat zu konfigurieren:

  • “Beispielserverzertifikat”

In diesem Fall schlägt die Verbindung fehl, wenn die Citrix Workspace-App für Linux nicht alle Zwischenzertifikate finden kann.

Hdxcheck

Citrix stellt das Skript hdxcheck.sh als Teil des Citrix Workspace-App-Installationspakets bereit. Das Skript überprüft, ob das Gerät alle Systemanforderungen erfüllt, um die gesamte Funktionalität der Workspace-App für Linux zu unterstützen. Das Skript befindet sich im Verzeichnis Utilities des Installationspakets.

Ausführen des Skripts hdxcheck.sh

  1. Öffnen Sie das Terminal auf Ihrer Linux-Maschine.
  2. Geben Sie cd $ICAROOT/util ein und drücken Sie die EINGABETASTE, um zum Verzeichnis Utilities des Installationspakets zu navigieren.
  3. Geben Sie ./hdxcheck.sh ein, um das Skript auszuführen.

Voraussetzungen für die Installation der Citrix Workspace-App