Résolution des problèmes

Stratégie de validation des certificats de serveur

La stratégie de validation des certificats de serveur de l’application Citrix Workspace pour Android est plus stricte.

Important

Avant d’installer cette version de l’application Citrix Workspace pour Android, vérifiez que les certificats sur le serveur ou Citrix Gateway sont correctement configurés comme indiqué ci-dessous. Les connexions peuvent échouer si :

  • la configuration du serveur ou de Citrix Gateway inclut un certificat racine incorrect ;
  • la configuration du serveur ou de Citrix Gateway n’inclut pas tous les certificats intermédiaires ;
  • la configuration du serveur ou de Citrix Gateway inclut un certificat intermédiaire expiré ou non valide ;
  • la configuration du serveur ou de Citrix Gateway inclut un certificat intermédiaire avec signature croisée.

Lors de la validation d’un certificat de serveur, l’application Citrix Workspace pour Android utilise tous les certificats fournis par le serveur (ou Citrix Gateway). Elle vérifie ensuite également que les certificats sont approuvés. Si les certificats ne sont pas tous approuvés, la connexion échoue.

Cette stratégie est plus stricte que la stratégie de certificat des navigateurs web. De nombreux navigateurs Web comprennent un grand nombre de certificats racine auxquels ils font confiance.

Le serveur (ou Citrix Gateway) doit être configuré avec le jeu correct de certificats. Un jeu incorrect de certificats peut entraîner l’échec de la connexion à l’application Citrix Workspace pour Android.

Supposons qu’un Citrix Gateway soit configuré avec ces certificats valides. Cette configuration est recommandée pour les clients qui requièrent une validation stricte, en déterminant précisément quel certificat racine est utilisé par l’application Citrix Workspace pour Android :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »
  • « Certificat racine exemple »

L’application Citrix Workspace pour Android vérifie ensuite que tous ces certificats sont valides. L’application Citrix Workspace pour Android vérifie également qu’elle fait déjà confiance à « Certificat racine exemple ». Si l’application Citrix Workspace pour Android ne fait pas confiance à « Certificat racine exemple », la connexion échoue.

Important

Certaines autorités de certification disposent de plus d’un certificat racine. Si vous avez besoin de cette validation plus stricte, assurez-vous que votre configuration utilise le certificat racine approprié. Par exemple, il existe actuellement deux certificats (« DigiCert »/« GTE CyberTrust Global Root » et « DigiCert Baltimore Root »/« Baltimore CyberTrust Root ») qui peuvent valider les mêmes certificats de serveur. Sur certaines machines utilisateur, les deux certificats racine sont disponibles. Sur les autres machines, seul (« DigiCert Baltimore Root »/« Baltimore CyberTrust Root ») est disponible. Si vous configurez « GTE CyberTrust Global Root » sur la passerelle, les connexions à l’application Citrix Workspace pour Android sur ces machines utilisateur échouent. Consultez la documentation de l’autorité de certification pour déterminer quel certificat racine doit être utilisé. Notez également que les certificats racine finissent par expirer, comme tous les certificats.

Remarque

Certains serveurs et Citrix Gateway n’envoient jamais le certificat racine, même si cela est configuré. Une validation plus stricte n’est par conséquent pas possible.

Supposons maintenant qu’une passerelle soit configurée avec ces certificats valides. Cette configuration, qui ignore le certificat racine, est généralement recommandée :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »

L’application Citrix Workspace pour Android utilise ces deux certificats. Il recherche ensuite un certificat racine sur la machine utilisateur. Si elle en trouve un qui est validé et également approuvé (tel que « Certificat racine exemple »), la connexion réussit. Sinon, la connexion échoue. Cette configuration fournit le certificat intermédiaire dont l’application Citrix Workspace pour Android a besoin, mais permet également à l’application Citrix Workspace pour Android de choisir un quelconque certificat racine valide et approuvé.

Supposons maintenant qu’un Citrix Gateway soit configuré avec ces certificats :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »
  • « Certificat racine incorrect »

L’application Citrix Workspace pour Android lit le mauvais certificat racine et la connexion échoue.

Certaines autorités de certification disposent de plus d’un certificat intermédiaire. Dans ce cas, le Citrix Gateway est généralement configuré avec tous les certificats intermédiaires (mais pas le certificat racine) tels que :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple 1 »
  • « Certificat intermédiaire exemple 2 »

Certaines autorités de certification utilisent un certificat intermédiaire avec signature croisée. Ce cas de figure est destiné aux situations dans lesquelles il existe plus d’un certificat racine, et qu’un certificat racine antérieur est toujours en cours d’utilisation en même temps qu’un certificat racine plus récent. Dans ce cas, il y aura au moins deux certificats intermédiaires. Par exemple, le certificat racine antérieur « Class 3 Public Primary Certification Authority » et le certificat intermédiaire avec signature croisée « VeriSign Class 3 Public Primary Certification Authority - G5 » correspondant. Toutefois, un certificat racine antérieur « VeriSign Class 3 Public Primary Certification Authority - G5 » correspondant est également disponible, et il remplace « Class 3 Public Primary Certification Authority ». Le certificat racine antérieur n’utilise pas de certificat intermédiaire avec signature croisée.

Le certificat intermédiaire avec signature croisée et le certificat racine ont le même nom de sujet (Émis pour), mais le certificat intermédiaire avec signature croisée a un nom d’émetteur différent (Émis par). Cela permet de différencier le certificat intermédiaire avec signature croisée d’un certificat intermédiaire ordinaire (tel « Certificat intermédiaire exemple 2 »).

Cette configuration, qui ignore le certificat racine et le certificat intermédiaire avec signature croisée, est généralement recommandée :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »

Évitez de configurer le Citrix Gateway de manière à utiliser le certificat intermédiaire avec signature croisée, car cela entraîne la sélection du certificat racine antérieur :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »
  • « Certificat intermédiaire croisé exemple » [non recommandé]

Il n’est pas recommandé de configurer le Citrix Gateway avec le certificat de serveur uniquement :

  • « Certificat de serveur exemple »

Dans ce cas, si l’application Citrix Workspace pour Android ne peut pas trouver tous les certificats intermédiaires, la connexion échoue.

Résolution des problèmes