Résolution des problèmes

Stratégie de validation des certificats de serveur

La stratégie de validation des certificats de serveur de Citrix Receiver pour Android est plus stricte.

Important

Avant d’installer cette version de Citrix Receiver pour Android, vérifiez que les certificats sur le serveur ou la passerelle sont correctement configurés comme indiqué ci-dessous. Les connexions peuvent échouer si :

  • la configuration du serveur ou de la passerelle inclut un certificat racine incorrect ;
  • la configuration du serveur ou de la passerelle n’inclut pas tous les certificats intermédiaires ;
  • la configuration du serveur ou de la passerelle inclut un certificat intermédiaire expiré ou non valide ;
  • la configuration du serveur ou de la passerelle inclut un certificat intermédiaire avec signature croisée.

Lors de la validation d’un certificat de serveur, Citrix Receiver pour Android utilise maintenant tous les certificats fournis par le serveur (ou la passerelle). Comme dans les versions précédentes de Citrix Receiver pour Android, il vérifie également que les certificats sont approuvés.Si les certificats ne sont pas tous approuvés, la connexion échoue.

Cette stratégie est plus stricte que la stratégie de certificat des navigateurs web.De nombreux navigateurs Web comprennent un grand nombre de certificats racine auxquels ils font confiance.

Le serveur (ou la passerelle) doit être configuré avec le jeu correct de certificats.Un jeu incorrect de certificats peut entraîner l’échec de la connexion de Citrix Receiver pour Android.

Supposons qu’une passerelle soit configurée avec ces certificats valides. Cette configuration est recommandée pour les clients qui requièrent une validation stricte, en déterminant précisément quel certificat racine est utilisé par Citrix Receiver pour Android :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »
  • « Certificat racine exemple »

Citrix Receiver pour Android vérifie ensuite que tous ces certificats sont valides.Citrix Receiver pour Android vérifie également qu’il fait déjà confiance à « Certificat racine exemple ». Si Citrix Receiver pour Android ne fait pas confiance à « Certificat racine exemple », la connexion échoue.

Important

Certaines autorités de certification disposent de plus d’un certificat racine. Si vous avez besoin de cette validation plus stricte, assurez-vous que votre configuration utilise le certificat racine approprié. Par exemple, il existe actuellement deux certificats (« DigiCert »/« GTE CyberTrust Global Root » et « DigiCert Baltimore Root »/« Baltimore CyberTrust Root ») qui peuvent valider les mêmes certificats de serveur. Sur certaines machines utilisateur, les deux certificats racine sont disponibles. Sur les autres machines, seul (« DigiCert Baltimore Root »/« Baltimore CyberTrust Root ») est disponible. Si vous configurez « GTE CyberTrust Global Root » sur la passerelle, les connexions Citrix Receiver pour Android sur ces machines utilisateur échouent.Consultez la documentation de l’autorité de certification pour déterminer quel certificat racine doit être utilisé.Notez également que les certificats racine expirent éventuellement, comme tous les certificats.

Remarque

Certains serveurs et certaines passerelles n’envoient jamais le certificat racine, même si cela est configuré. Une validation plus stricte n’est par conséquent pas possible.

Supposons maintenant qu’une passerelle soit configurée avec ces certificats valides.Cette configuration, qui ignore le certificat racine, est généralement recommandée :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »

Citrix Receiver pour Android utilise ces deux certificats. Il recherche ensuite un certificat racine sur la machine utilisateur.S’il en trouve un qui est validé et également approuvé (tel que « Certificat racine exemple »), la connexion réussit. Sinon, la connexion échoue. Cette configuration fournit le certificat intermédiaire dont Citrix Receiver pour Android a besoin, mais permet également à Citrix Receiver pour Android de choisir un quelconque certificat racine valide et approuvé.

Supposons maintenant qu’une passerelle soit configurée avec ces certificats :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »
  • « Certificat racine incorrect »

Un navigateur Web peut ignorer le certificat racine incorrect. Toutefois, Citrix Receiver pour Android n’ignore pas le certificat racine incorrect et la connexion échoue.

Certaines autorités de certification disposent de plus d’un certificat intermédiaire.Dans ce cas, la passerelle est généralement configurée avec tous les certificats intermédiaires (mais pas le certificat racine) tels que :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple 1 »
  • « Certificat intermédiaire exemple 2 »

Important

Certaines autorités de certification utilisent un certificat intermédiaire avec signature croisée.Ce cas de figure est destiné aux situations dans lesquelles il existe plus d’un certificat racine, et qu’un certificat racine antérieur est toujours en cours d’utilisation en même temps qu’un certificat racine plus récent.Dans ce cas, il y aura au moins deux certificats intermédiaires.Par exemple, le certificat racine antérieur « Class 3 Public Primary Certification Authority » et le certificat intermédiaire avec signature croisée « VeriSign Class 3 Public Primary Certification Authority - G5 » correspondant.Toutefois, un certificat racine antérieur « VeriSign Class 3 Public Primary Certification Authority - G5 » correspondant est également disponible, et il remplace « Class 3 Public Primary Certification Authority ». Le certificat racine antérieur n’utilise pas de certificat intermédiaire avec signature croisée.  

Remarque

Le certificat intermédiaire avec signature croisée et le certificat racine ont le même nom de sujet (Émis pour), mais le certificat intermédiaire avec signature croisée a un nom d’émetteur différent (Émis par). Cela permet de différencier le certificat intermédiaire avec signature croisée d’un certificat intermédiaire ordinaire (tel « Certificat intermédiaire exemple 2 »).

Cette configuration, qui ignore le certificat racine et le certificat intermédiaire avec signature croisée, est généralement recommandée :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »

Évitez de configurer la passerelle de manière à utiliser le certificat intermédiaire avec signature croisée, car cela entraîne la sélection du certificat racine antérieur :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »
  • « Certificat intermédiaire croisé exemple » [non recommandé]

Il n’est pas recommandé de configurer la passerelle avec le certificat de serveur uniquement :

  • « Certificat de serveur exemple »

Dans ce cas, si Citrix Receiver pour Android ne peut pas trouver tous les certificats intermédiaires, la connexion échoue.

Résolution des problèmes