Solucionar problemas

Directiva de validación conjunta de certificados de servidor

Esta versión de la aplicación Citrix Workspace para Android tiene una directiva más estricta para validar los certificados de servidor.

Importante

Antes de instalar esta versión de la aplicación Citrix Workspace para Android, confirme que los certificados presentes en el servidor o en Citrix Gateway se han configurado correctamente como se describe aquí. Las conexiones pueden fallar si:

  • la configuración del servidor o de Citrix Gateway incluye un certificado raíz incorrecto.
  • la configuración del servidor o de Citrix Gateway no incluye todos los certificados intermedios.
  • la configuración del servidor o de Citrix Gateway incluye un certificado intermedio caducado o no válido.
  • la configuración del servidor o de Citrix Gateway incluye un certificado intermedio con firmas cruzadas.

Cuando valida un certificado de servidor, la aplicación Citrix Workspace para Android usa ahora todos los certificados suministrados por el servidor (o por Citrix Gateway) para validarlo. Luego también verifica que los certificados sean de confianza. Si no todos los certificados son de confianza, la conexión falla.

Esta directiva es más estricta que la directiva de certificados presente en los exploradores Web. Muchos exploradores Web incluyen un gran conjunto de certificados raíz en los que confían.

El servidor (o Citrix Gateway) debe estar configurado con el conjunto correcto de certificados. Un conjunto incorrecto de certificados puede provocar que falle la conexión de la aplicación Citrix Workspace para Android.

Supongamos que se configura una Citrix Gateway con estos certificados válidos. Esta configuración se recomienda para los clientes que requieren una validación más estricta, que necesitan determinar exactamente cuál es el certificado raíz usa la aplicación Citrix Workspace para Android:

  • “Certificado de servidor - ejemplo”
  • “Certificado intermedio - ejemplo”
  • “Certificado raíz - ejemplo”

A continuación, la aplicación Citrix Workspace para Android comprobará que todos los certificados son válidos. La aplicación Citrix Workspace para Android comprobará también que ya confía en “Certificado raíz de ejemplo”. Si la aplicación Citrix Workspace para Android no confía en “Certificado raíz de ejemplo”, la conexión falla.

Importante

Algunas entidades de certificación tienen más de un certificado raíz. Si necesita usar esta validación más estricta, compruebe que la configuración usa el certificado raíz correspondiente. Por ejemplo, actualmente hay dos certificados (“DigiCert”/”GTE CyberTrust Global Root” y “DigiCert Baltimore Root”/”Baltimore CyberTrust Root”) que pueden validar los mismos certificados de servidor. En algunos dispositivos de usuario, están disponibles ambos certificados raíz. En otros dispositivos, solo uno está disponible (“DigiCert Baltimore Root” o “Baltimore CyberTrust Root”). Si configura “GTE CyberTrust Global Root” en la puerta de enlace, fallarán las conexiones de la aplicación Citrix Workspace para Android en esos dispositivos de usuario. Consulte la documentación de la entidad de certificación para determinar qué certificado raíz debe usarse. Tenga en cuenta que los certificados raíz también caducan, como todos los demás certificados.

Nota

Algunos servidores y Citrix Gateway nunca envían el certificado raíz, aunque se haya configurado. En esos casos, esta validación más estricta no es posible.

Supongamos ahora que se configura una puerta de enlace usando estos certificados válidos. Esta configuración, sin certificado raíz, es la que se suele recomendar:

  • “Certificado de servidor - ejemplo”
  • “Certificado intermedio - ejemplo”

La aplicación Citrix Workspace para Android usará esos dos certificados. Luego, buscará un certificado raíz en el dispositivo del usuario. Si encuentra uno que se valida correctamente y también es de confianza (por ejemplo, “Certificado raíz - ejemplo”), la conexión se realiza correctamente. De lo contrario, la conexión falla. Tenga en cuenta que esta configuración proporciona el certificado intermedio que necesita la aplicación Citrix Workspace para Android, pero también permite que la aplicación Citrix Workspace para Android elija cualquier certificado raíz válido y de confianza.

Supongamos ahora que se configura una Citrix Gateway con estos certificados:

  • “Certificado de servidor - ejemplo”
  • “Certificado intermedio - ejemplo”
  • “Certificado raíz incorrecto”

La aplicación Citrix Workspace para Android lee el certificado raíz incorrecto y la conexión falla.

Algunas entidades de certificación usan más de un certificado intermedio. En este caso, Citrix Gateway se configura normalmente con todos los certificados intermedios (pero sin el certificado raíz):

  • “Certificado de servidor - ejemplo”
  • “Certificado intermedio 1 - ejemplo”
  • “Certificado intermedio 2 - ejemplo”

Algunas entidades de certificación usan un certificado intermedio con firmas cruzadas. Este tipo de certificado está pensado para situaciones en que hay más de un certificado raíz: un certificado raíz anterior se usa al mismo tiempo que un certificado raíz posterior. En este caso, habrá al menos dos certificados intermedios. Por ejemplo, el certificado raíz anterior “Class 3 Public Primary Certification Authority” tiene el certificado intermedio con firma cruzada correspondiente “VeriSign Class 3 Public Primary Certification Authority - G5.” Sin embargo, un certificado raíz posterior correspondiente “VeriSign Class 3 Public Primary Certification Authority - G5” también está disponible, que reemplaza a la “Class 3 Public Primary Certification Authority.” El certificado raíz posterior no usa ningún certificado intermedio con firmas cruzadas.

El certificado intermedio con firmas cruzadas y el certificado raíz tienen el mismo Nombre de sujeto (Emitido para), pero el certificado intermedio con firmas cruzadas tiene otro Nombre de emisor (Emitido por). Esto distingue el certificado intermedio con firmas cruzadas de un certificado intermedio normal (como “Certificado intermedio 2 - ejemplo”).

Esta configuración, sin certificado raíz y sin certificado intermedio con firmas cruzadas, es la que se suele recomendar:

  • “Certificado de servidor - ejemplo”
  • “Certificado intermedio - ejemplo”

No configure Citrix Gateway para que use el certificado intermedio con firmas cruzadas, porque seleccionará el certificado raíz anterior:

  • “Certificado de servidor - ejemplo”
  • “Certificado intermedio - ejemplo”
  • “Certificado intermedio con firmas cruzadas - ejemplo” [no recomendado]

No se recomienda configurar Citrix Gateway usando solamente el certificado del servidor:

  • “Certificado de servidor - ejemplo”

En este caso, si la aplicación Citrix Workspace para Android no puede localizar todos los certificados intermedios, la conexión fallará.

Solucionar problemas