Linux Mint 19.3 en Citrix Workspace en certificaten

[plek]

Ook ik moet thuiswerken, ipv in het gebouw waar mijn ministerie is gehuisvest. Werken op de zakelijke laptop gaat technisch probleemloos, maar is niet erg ARBO-verantwoord; op de eigen PC zou prettiger zijn. Daarvoor heb ik Citrix Workspace nodig, en dat is aanwezig in Mint 19.3; dat is ook de actuele versie die van www.Citrix.com is te downloaden.
Ik heb dat dus geprobeerd, maar krijg de melding dat ik een overheidscertificaat als niet-vertrouwd heb aangemerkt, maar dat klopt niet als ik dat check. Ik heb dit gemeld bij en uitgebreid besproken met de ICT-helpdesk van mijn ministerie, en die komt met het volgende antwoord:

"Wij liepen tegen hetzelfde probleem aan bij het draaien van de Citrix Workspace op Linux. De Linux versie van de Workspace client gebruikt zijn eigen CA certificate trust store in plaats van de standaard OpenSSL locatie voor vertrouwde CA certificaten (die op de meeste distributies /etc/ssl/certs zal zijn).
Je kunt het Staat der Nederlanden root certificaat toevoegen met de volgende stappen:
1. Plaats het certificaat in de <icaclient>/linuxx64/keystore/cacerts
2. Draai <icaclient>/linuxx64/util/ctx_rehash
De <icaclient> locatie zal afhangen van de manier waarop de Citrix Workspace is geïnstalleerd. Op mijn machine is het de “ICAClient” directory onder mijn home directory.
3. Als je het Staat der Nederlanden certificaat nog niet hebt, dan zou je het met het volgende commando kunnen ophalen:
cd /tmp &&  echo "" | openssl s_client -showcerts -connect portaal.cloud-wp.nl:443 | csplit --prefix cert.tmp. - '/END CERTIFICATE/+1' '{*}' > /dev/null && grep -l "BEGIN CERTIFICATE" cert* | while read fn; do cn=$(openssl x509 -in "${fn}" -noout -subject -nameopt sname | sed 's:^.*CN=::') && [ -n "${cn}" ] && openssl x509 -nameopt sname -in "${fn}" -out "${cn}.pem" -subject -issuer -dates; done && rm -f cert.tmp.[0-9]*
Als dit commando succesvol draait, dan zou je een aantal *.pem bestanden moeten hebben in /tmp, waaronder “Staat der Nederlanden Root CA - G3.pem”."

Bij stap 1: ik heb een (verborgen) map .ICAClient, maar geen submappen die lijken op die in stap 1.
Bij stap 2: dat kan ik niet draaien, locatie heb ik niet en bestand 'ctx-rehash' zie ik niet.
Bij stap 3: het certificaat "Staat der Nederlanden Root CA - G3" is het certificaat dat het probleem veroorzaakt. Ik heb dat volgens mij echter wel: Root-CA-G3.cer heb ik onlangs gedownload. Is er een map waarin ik dat kan plaatsen en dat dan het probleem is opgelost? Want de code die de helpdesk geeft begrijp ik niet en ga ik niet zo maar uitvoeren.

Heel graag zou ik jullie adviezen hierover krijgen.

[vanadium]

Stap 1: <icaclient> staat voor de locatie waar citrix geïnstalleerd is. Bij mij is dit in een systeemfolder, "/opt/Citrix/ICAClient" (Zo. Linux is hoofdlettergevoelig). Certificaten staan dus in /opt/Citrix/ICAClient/keystore/cacerts/. De verborgen map waar jij naar verwijst, wordt automatisch aangemaakt wanneer je Citrix client voor het eerst opstart, en bevat je gebruikersdata. Dat is *niet* de installatiemap.

In mijn geval is de installatiefolder een systeemmap. Je moet in dat geval beheerder zijn om daar bestanden (je certificaten) naar toe te kunnen kopiëren.

Je zal moeten uitvlooien waar je Citrix is geïnstalleerd. Zie onder Stap 2.

Stap 2 Het uitvoerbare bestand "ctx_rehash" staat ergens onder je installatiefolder. Als je dat bestand kan vinden, dan heb je meteen ook de installatiefolder gevonden.

Code: [Selecteer]

sudo find / -name ctx_rehash 2>/dev/null
Bij mij geeft dit "/opt/Citrix/ICAClient/util/ctx_rehash". Dat ingeven aan de terminal en op enter drukken zal bij mij het uitvoerbare bestand ctx_rehash opstarten.

Stap 3 lijkt mij in werkelijkheid Stap 1 te zijn. Je haalt er het certificaat mee op. Je moet het certificaat eerst hebben vooraleer je het naar de keystore/cacerts/ kan kopiëren.

Ik begrijp dat commando ook niet, maar je zal niet veel anders kunnen. Ik vermoed dat na afloop het certificaat in de folder /tmp zal staan. Het certificaat wat je nodig hebt, zou "Staat der Nederlanden Root CA - G3.pem" moeten heten. Het is dat bestand dat je in de keystore/cacerts/ moet plaatsen. 

[Ronaldus]

Probeer het eens met Chromium (of Chrome).

Ik werk sowieso regelmatig thuis (ook een overheidsinstelling). Met Firefox lukt dat mij niet meer. Met Chromium wel. Gewoon de Workspace-app geïnstalleerd en het werkt.

https://www.citrix.com/downloads/workspace-app/linux/workspace-app-for-linux-latest.html

[DirkJan]

Ik liep tegen hetzelfde probleem aan. Ben dus gestopt met de lokaal geïnstalleerde client en gebruik citrix via de browser. Vreemd genoeg werkt dat bij weer alleen in Firefox en juist niet in Chrome, Chromium en Vivaldi. Vanuit die browsers wordt er een *.ica bestand gedownload wat bij openen (met de client) resulteert in diezelfde melding. Betreft ook hetzelfde certificaat.

Update: ik heb het werkend gekregen. Met dank aan de tip van Vanadium. Er van uitgaande dat je de laatste versie van de Citrix Workspace al hebt geïnstalleerd. Wat ik heb gedaan (in volgorde):

[aangepast n.a.v. onderstaande tips van @Ronaldus en @Vanadium, veiliger werkwijze]

1. Het certificaat opgehaald via
 

Code: [Selecteer]

cd /tmp &&  echo "" | openssl s_client -showcerts -connect portaal.cloud-wp.nl:443 | csplit --prefix cert.tmp. - '/END CERTIFICATE/+1' '{*}' > /dev/null && grep -l "BEGIN CERTIFICATE" cert* | while read fn; do cn=$(openssl x509 -in "${fn}" -noout -subject -nameopt sname | sed 's:^.*CN=::') && [ -n "${cn}" ] && openssl x509 -nameopt sname -in "${fn}" -out "${cn}.pem" -subject -issuer -dates; done && rm -f cert.tmp.[0-9]*
2. de certificaten staan nu in je /tmp directory en kopieer je naar de cacert directory in de installatiefolder. Bij mij is dat /opt/Citrix/ICAClient/keystore/cacert 
Het kopiëren vind ikzelf het handigst door nautilus met rootrechten te starten met

Code: [Selecteer]

nautilus admin:///
NB: op Mint kan dat met

Code: [Selecteer]

pkexec nemo
3. Voer de rehash uit met

Code: [Selecteer]

sudo /opt/Citrix/ICAClient/util/ctx_rehashDe terminal laat dan zien welke certificaten zijn verwerkt.

4. Sluit je computer af (zonder werkte bij mij niet, waarschijnlijk omdat de certificaten bij opstarten worden geladen?)

De volgende stap was voor mij inloggen via de webinterface van Citrix van mijn organisatie. Na inloggen wordt er (automatisch) een *.ica bestand gedownload waarmee je na dubbelklikken de Workspace app opstart en direct in je werkomgeving zit.

[plek]

Dank voor jullie duidelijke antwoorden. Met de gecombineerde uitleg van vanadium en DirkJan ben ik een heel eind.
In /tmp staan nu enkele pem-bestanden. Die kan ik echter niet naar /opt/Citrix/ICAClient/keystore/cacerts kopiëren, want daar heb ik geen rechten voor, en ik weet niet hoe ik dat kan wijzigen in root (die het wel kan).
Daarom heb ik in de terminal dit gedaan: sudo cp /tmp/portaal.cloud-wp.nl.pem /opt/Citrix/ICAClient/keystore/cacerts, en dat werkte. Tenminste, voor dit bestand.
Want met dit commando

Code: [Selecteer]

sudo cp /tmp/QuoVadis PKIoverheid Organisatie Server CA – G3.pem /opt/Citrix/ICAClient/keystore/cacerts lukt het niet. dat QuoVadis PKIoverheid Organisatie Server CA – G3.pem wordt kennelijk niet gezien als één bestand, en het is me niet gelukt dat te veranderen, met bijvoorbeeld tussen " ", tussen ' ' en met puntjes ipv spaties en het streepje.
Zou iemand kunnen uitleggen hoe ik (1) root kan worden en dus wel bestanden kan kopiëren, of (2) hoe ik die bestandsnaam moet veranderen zodat het bij kopiëren in de terminal als één naam wordt gezien? Alvast dank!

[DirkJan]

Zelf vind ik het verplaatsen van bestanden via de terminal lastig. Ik gebruik daarom meestal gewoon Bestanden: Nautilus dus. Als je root rechten nodig hebt om bestanden te verplaatsen moet je dan wel Nautilus of Nemo starten met root-rechten. Dat doe je op Ubuntu vanuit de terminal met

Code: [Selecteer]

nautilus admin:///of Mint

Code: [Selecteer]

pkexec nemo

Je wachtwoord invoeren en je kunt vervolgens gewoon knippen en plakken met Bestanden aleen dan nu met root rechten.

[Eveneens aangepast n.a.v. tips @Ronaldus en @Vanadium]

[plek]

@DirkJan Ik heb nautilus geïnstalleerd en de bestanden daarmee kunnen verplaatsen van /tmp naar /opt/Citrix/ICAClient/keystore/cacerts. Het werkt! Grote dank, want zo werkt het prettiger dan op een 12¨-schermpje.

[Ronaldus]

Nautilus in Mint geïnstalleerd en daarna 'sudo nautilus'?

Lijkt mij ook niet echt de bedoeling...

Zie: https://makkelijkelinuxtips.blogspot.com/p/root.html

[vanadium]

Ja, spijtig inderdaad dat je wat ongenuanceerd meteen een advies van Ubuntu overneemt, een fout advies overigens, want reeds jaren wordt ervoor gewaarschuwd grafische toepassingen *niet* met "sudo" op te starten. Kan, maar hoeft niet, problemen opleveren. In Mint volstaat inderdaad "pkexec nemo". In Ubuntu is de "ondersteunde" werkwijze het werken met de admin:// URL, zoals "nautilus admin:///" om de root folder te openen met beheerdersbevoegdheid. Een policybestand om nautilus met pkexec te openen, is standaard niet op Ubuntu geïnstalleerd.

[DirkJan]

@plek fijn dat het werkt.

@vanadium @ronaldus heb ik ook weer wat geleerd. Dank dus voor jullie aanvulling. Nu maak ik er geen gewoonte van om grafische toepassingen met sudo op te starten, vanaf nu hoeft dat ook niet meer. Heb mijn eerdere reacties aangepast mocht iemand in de toekomst tegen hetzelfde probleem aanlopen.

[vanadium]

Heb mijn eerdere reacties aangepast mocht iemand in de toekomst tegen hetzelfde probleem aanlopen.

+1! Dat gebruik van sudo met grafische programma's blijft anders zeer moeilijk uit te roeien.

[plek]

@Ronaldus en vanadium. Dat Nautilus in Mint (of helemaal niet meer) niet goed is, had ik eerder wel gelezen op de site van Pjotr. Die schrijft ergens dat nautilus met bepaalde handelingen kan meekomen, en geeft een commando om het te verwijderen. Daarom heb ik - na installatie van nautilus en gebruik voor verplaatsen van de bestanden naar van /tmp naar /opt/Citrix/ICAClient/keystore/cacerts - het programma weer *volledig* verwijderd.
Excuses dat ik niet zo goed ben ingevoerd en niet zo deskundig ben als jullie en daardoor ongenuanceerde, foute dingen doe.

[zdkdick]

Beste lezer,
Ik plaatste mijn reactie op een oud bericht en nog wel bij Andere distrubuties.
Ik ga hem als nieuw plaatsen.
Linux en Citrix Workspace en certicate.
Was Re: Linux Mint 19.3 en Citrix Workspace en certificaten
Met dank aan dit topic heb ik verbinding weten te krijgen met spie.
Ik ben ook druk bezig geweest met de citrix documentatie....
Mooi reeks commando's waarbij ik achter connect accessnl.spie.com gezet heb.
heb de man(pagina) van de verschillende commandos bekeken, bijzonder dat ik dit niet vind in de citrix documentatie.
De twee pem files gecopieerd.
ctx_rehash gedaan. In de documentatie kom ik die tegen bij ICAROOT, bijzonder.
En ik kreeg verbinding.
Ubuntu 22.04.2 LTS
Begrijp het nu een beetje, maar weet het graag goed.

Wie kan mij helpen?
Bij voorbaat dank

Groet,

Dick