Problembehandlung

Richtlinie für die Überprüfung gemeinsamer Serverzertifikate

Citrix Receiver für Android hat eine strenge Validierungsrichtlinie für Serverzertifikate.

Wichtig

Bestätigen Sie vor der Installation dieser Version von Citrix Receiver für Android, dass die Zertifikate auf dem Server oder Gateway wie hier beschrieben konfiguriert sind. Aufgrund folgender Ursachen können Verbindungen fehlschlagen:

  • Die Server- oder Gatewaykonfiguration enthält ein falsches Stammzertifikat
  • Die Server- oder Gatewaykonfiguration enthält nicht alle Zwischenzertifikate
  • Die Server- oder Gatewaykonfiguration enthält ein abgelaufenes oder anderweitig ungültiges Zwischenzertifikat
  • Die Server- oder Gatewaykonfiguration enthält ein übergreifendes Zwischenzertifikat

Beim Validieren eines Serverzertifikats verwendet Citrix Receiver für Android jetzt alle Zertifikate, die vom Server oder Gateway bereitgestellt werden. Wie in früheren Releases von Citrix Receiver für Android wird dann auch überprüft, ob die Zertifikate vertrauenswürdig sind.Wenn nicht alle Zertifikate vertrauenswürdig sind, schlägt die Verbindung fehl.

Diese Richtlinie ist strenger als die Zertifikatrichtlinie in Webbrowsern.Viele Webbrowser enthalten eine große Anzahl Stammzertifikate, denen sie vertrauen.

Der Server bzw. das Gateway muss mit den richtigen Zertifikaten konfiguriert sein.Sind nicht die richtigen Zertifikate vorhanden, schlägt die Verbindung von Citrix Receiver für Android u. U. fehl.

Angenommen, ein Gateway ist mit gültigen Zertifikaten konfiguriert. Diese Konfiguration wird für Kunden empfohlen, die eine strengere Validierung benötigen. Dabei wird genau ermittelt, welches Stammzertifikat Citrix Receiver für Android verwendet:

  • “Beispielserverzertifikat”
  • “Beispielzwischenzertifikat”
  • “Beispielstammzertifikat”

Citrix Receiver für Android überprüft, ob alle Zertifikate gültig sind.Citrix Receiver für Android überprüft ebenfalls, ob dem “Beispielstammzertifikat” bereits vertraut wird. Wenn Citrix Receiver für Android dem “Beispielstammzertifikat” nicht vertraut, schlägt die Verbindung fehl.

Wichtig

Einige Zertifizierungsstellen haben mehr als ein Stammzertifikat. Wenn Sie diese strengere Validierung benötigen, stellen Sie sicher, dass Ihre Konfiguration das entsprechende Stammzertifikat verwendet. Beispielsweise gibt es derzeit zwei Zertifikate (“DigiCert”/”GTE CyberTrust Global Root” und “DigiCert Baltimore Root”/”Baltimore CyberTrust Root”), mit denen die gleichen Serverzertifikate validiert werden können. Auf einigen Benutzergeräten sind beide Stammzertifikate verfügbar. Auf anderen Geräten ist nur eins verfügbar (“DigiCert Baltimore Root”/”Baltimore CyberTrust Root”). Wenn Sie “GTE CyberTrust Global Root” auf dem Gateway konfigurieren, schlagen Citrix Receiver für Android-Verbindungen auf diesen Benutzergeräten fehl.Aus der Dokumentation der Zertifizierungsstelle erfahren Sie, welches Stammzertifikat zu verwenden ist.Beachten Sie außerdem, dass Stammzertifikate, wie alle Zertifikate, irgendwann ablaufen.

Hinweis

Einige Server und Gateways senden nie das Stammzertifikat, selbst wenn es konfiguriert ist. Ein strengere Validierung ist dann nicht möglich.

Angenommen, ein Gateway ist mit diesen gültigen Zertifikaten konfiguriert.Wir empfehlen die folgende Konfiguration ohne das Stammzertifikat:

  • “Beispielserverzertifikat”
  • “Beispielzwischenzertifikat”

Citrix Receiver für Android verwendet dann die beiden Zertifikate. Dann sucht Receiver nach einem Stammzertifikat auf dem Benutzergerät.Wenn er ein gültiges findet, das auch vertrauenswürdig ist (z. B. “Beispielstammzertifikat”), ist die Verbindung erfolgreich. Andernfalls schlägt die Verbindung fehl. Diese Konfiguration stellt das von Citrix Receiver für Android benötigte Zwischenzertifikat zur Verfügung und ermöglicht Citrix Receiver für Android die Wahl eines gültigen, vertrauenswürdigen Stammzertifikats.

Nehmen wir nun an, ein Gateway ist mit den folgenden Zertifikaten konfiguriert:

  • “Beispielserverzertifikat”
  • “Beispielzwischenzertifikat”
  • “Falsches Stammzertifikat”

Ein Webbrowser ignoriert eventuell das falsche Stammzertifikat. Citrix Receiver für Android ignoriert das falsche Stammzertifikat jedoch nicht und die Verbindung schlägt fehl.

Einige Zertifizierungsstellen verwenden mehr als ein Zwischenzertifikat.In diesem Fall ist das Gateway normalerweise wie folgt mit allen Zwischenzertifikaten konfiguriert, jedoch nicht mit dem Stammzertifikat:

  • “Beispielserverzertifikat”
  • “Beispielzwischenzertifikat 1”
  • “Beispielzwischenzertifikat 2”

Wichtig

Einige Zertifizierungsstellen verwenden ein übergreifendes Zwischenzertifikat.Dies ist für Situationen vorgesehen, wenn mehr als ein Stammzertifikat vorhanden ist und ein früher ausgestelltes Stammzertifikat zur gleichen Zeit wie ein später ausgestelltes Stammzertifikat verwendet wird.In diesem Fall sind mindestens zwei Zwischenzertifikate vorhanden.Beispielsweise hat das früher ausgestellte Stammzertifikat “Class 3 Public Primary Certification Authority” das entsprechende übergreifende Zwischenzertifikat “VeriSign Class 3 Public Primary Certification Authority - G5”.Ein entsprechendes später ausgestelltes Stammzertifikat “VeriSign Class 3 Public Primary Certification Authority - G5” ist ebenfalls verfügbar und es ersetzt “Class 3 Public Primary Certification Authority”. Das später ausgestellte Stammzertifikat verwendet kein übergreifendes Zwischenzertifikat.  

Hinweis

Das übergreifende Zwischenzertifikat und das Stammzertifikat haben den gleichen Antragstellernamen (Ausgestellt an), aber das übergreifende Zwischenzertifikat hat einen anderen Ausstellernamen (Ausgestellt durch). Dadurch unterscheidet sich das übergreifende Zwischenzertifikat von einem normalen Zwischenzertifikat wie “Beispielzwischenzertifikat 2”.

Normalerweise empfiehlt sich die folgende Konfiguration ohne das Stammzertifikat und das übergreifende Zwischenzertifikat:

  • “Beispielserverzertifikat”
  • “Beispielzwischenzertifikat”

Konfigurieren Sie das Gateway nicht für die Verwendung des übergreifenden Zwischenzertifikats, weil es sonst das früher ausgestellte Stammzertifikat auswählt:

  • “Beispielserverzertifikat”
  • “Beispielzwischenzertifikat”
  • “Übergreifendes Beispielzwischenzertifikat” [nicht empfohlen]

Es wird nicht empfohlen, das Gateway nur mit dem Serverzertifikat zu konfigurieren:

  • “Beispielserverzertifikat”

In diesem Fall schlägt die Verbindung fehl, wenn Citrix Receiver für Android nicht alle Zwischenzertifikate finden kann.

Problembehandlung