トラブルシューティング

サーバー証明書検証ポリシー

Android向けCitrix Workspaceアプリには、サーバー証明書に関する厳格な検証ポリシーがあります。

重要

このバージョンのAndroid向けCitrix Workspaceアプリをインストールする前に、サーバーまたはCitrix Gatewayの証明書が、ここで説明されているように正しく構成されていることを確認してください。以下の場合、接続できないことがあります:

  • サーバーまたはCitrix Gatewayの構成に間違ったルート証明書が含まれている
  • サーバーまたはCitrix Gatewayの構成にすべての中間証明書が含まれていない
  • サーバーまたはCitrix Gatewayの構成に期限切れまたは無効な中間証明書が含まれている
  • サーバーまたはCitrix Gatewayの構成にクロスルート用中間証明書が含まれていない

Android向けCitrix Workspaceアプリは、サーバー証明書を検証する時にサーバー(またはCitrix Gateway)が提供するすべての証明書を使用するようになりました。証明書が信頼済みであることも確認します。すべての証明書が信頼済みでない場合、接続に失敗します。

このポリシーは、Webブラウザーの証明書ポリシーより厳格です。多くのWebブラウザーには、多数の信頼済みのルート証明書セットが含まれます。

サーバー(またはCitrix Gateway)は、正しい証明書セットで構成する必要があります。不正な証明書のセットを使用すると、Android向けCitrix Workspaceアプリの接続に失敗することがあります。

以下は、Citrix Gatewayがこのような有効な証明書で構成されていることを前提としています。この構成は、Android向けCitrix Workspaceアプリで使用されるルート証明書を正確に確認するために、より厳格な検証が必要なユーザーにお勧めします:

  • 「サーバー証明書サンプル」
  • 「中間証明書サンプル」
  • 「ルート証明書サンプル」

Android向けCitrix Workspaceアプリはこれらすべての証明書が有効であることを確認します。Android向けCitrix Workspaceアプリが「ルート証明書サンプル」を信頼済みであることも確認します。Android向けCitrix Workspaceアプリが「ルート証明書サンプル」を信頼していない場合、接続に失敗します。

重要

証明機関によっては、複数のルート証明書があります。このような、より厳格な検証が必要であれば、構成で適切なルート証明書が使用されていることを確認してください。例えば、現在同じサーバー証明書を検証できる2つの証明書(「DigiCert」/「GTE CyberTrust Global Root」および「DigiCert Baltimore Root」/「Baltimore CyberTrust Root」)があるとします。ユーザーデバイスによっては、両方のルート証明書が使用できます。その他のデバイスでは、1つの証明書のみを使用できます(「DigiCert Baltimore Root」/「Baltimore CyberTrust Root」)。ゲートウェイで「GTE CyberTrust Global Root」を構成すると、これらのユーザーデバイスでAndroid向けCitrix Workspaceアプリの接続に失敗します。どのルート証明書を使用すべきかについては、証明機関のドキュメントを参照してください。また、ルート証明書の有効期限についても注意してください。

メモ

サーバーやCitrix Gatewayによっては、ルート証明書が構成されていても、送信しないことがあります。この場合、より厳格な検証は機能しません。

以下は、ゲートウェイがこのような有効な証明書で構成されていることを前提としています。通常は、このルート証明書を省略した構成が推奨されます:

  • 「サーバー証明書サンプル」
  • 「中間証明書サンプル」

Android向けCitrix Workspaceアプリはこの2つの証明書を使用します。次に、ユーザーデバイスでルート証明書を検索します。正しく検証される証明書が見つかり、信頼済みである場合(「ルート証明書サンプル」など)、接続は成功します。信頼済みの証明書が見つからない場合は、失敗します。この構成では、Android向けCitrix Workspaceアプリが必要とする中間証明書が提供されますが、Android向けCitrix Workspaceアプリは任意の有効な、信頼済みのルート証明書を選択できます。

以下は、Citrix Gatewayがこのような証明書で構成されていることを前提としています:

  • 「サーバー証明書サンプル」
  • 「中間証明書サンプル」
  • 「間違ったルート証明書」

Android向けCitrix Workspaceアプリが不正なルート証明書を読み取り、接続は失敗します。

証明機関によっては、複数の中間証明書を使用します。この場合、Citrix Gatewayは通常、以下のようにすべて中間証明書(ルート証明書ではない)で構成されます:

  • 「サーバー証明書サンプル」
  • 「中間証明書サンプル1」
  • 「中間証明書サンプル2」

証明機関によっては、クロスルート用中間証明書を使用します。これは、複数のルート証明書があり、以前のルート証明書が最新のルート証明書と同時に使用中の状況を想定しています。この場合、少なくとも2つの中間証明書が存在します。たとえば、以前のルート証明書「Class 3 Public Primary Certification Authority」は、クロスルート用中間証明書「VeriSign Class 3 Public Primary Certification Authority-G5」を使用しています。ただし、最新のルート証明書「VeriSign Class 3 Public Primary Certification Authority - G5」も使用可能で、これが「Class 3 Public Primary Certification Authority」に置き換わります。最新のルート証明書はクロスルート用中間証明書を使用しません。

クロスルート用中間証明書およびルート証明書は、同じサブジェクト名(発行先)ですが、クロスルート中間証明書には異なる発行者名(発行元)があります。これによって、クロスルート用中間証明書と通常の中間証明書(「中間証明書サンプル2」など)を区別できます。

通常は、このルート証明書およびクロスルート用中間証明書を省略した構成が推奨されます:

  • 「サーバー証明書サンプル」
  • 「中間証明書サンプル」

クロスルート用中間証明書をCitrix Gatewayで構成しないでください。これは、Citrix Gatewayで以前のルート証明書が選択されるようになるのを避けるためです:

  • 「サーバー証明書サンプル」
  • 「中間証明書サンプル」
  • 「クロスルート用中間証明書サンプル」[非推奨]

Citrix Gatewayでサーバー証明書のみを構成しないでください:

  • 「サーバー証明書サンプル」

この場合、Android向けCitrix Workspaceアプリがすべての中間証明書を検出できないと、接続に失敗します。

トラブルシューティング