Interactief > Andere distributies
Linux Mint 19.3 en Citrix Workspace en certificaten
plek:
Ook ik moet thuiswerken, ipv in het gebouw waar mijn ministerie is gehuisvest. Werken op de zakelijke laptop gaat technisch probleemloos, maar is niet erg ARBO-verantwoord; op de eigen PC zou prettiger zijn. Daarvoor heb ik Citrix Workspace nodig, en dat is aanwezig in Mint 19.3; dat is ook de actuele versie die van www.Citrix.com is te downloaden.
Ik heb dat dus geprobeerd, maar krijg de melding dat ik een overheidscertificaat als niet-vertrouwd heb aangemerkt, maar dat klopt niet als ik dat check. Ik heb dit gemeld bij en uitgebreid besproken met de ICT-helpdesk van mijn ministerie, en die komt met het volgende antwoord:
"Wij liepen tegen hetzelfde probleem aan bij het draaien van de Citrix Workspace op Linux. De Linux versie van de Workspace client gebruikt zijn eigen CA certificate trust store in plaats van de standaard OpenSSL locatie voor vertrouwde CA certificaten (die op de meeste distributies /etc/ssl/certs zal zijn).
Je kunt het Staat der Nederlanden root certificaat toevoegen met de volgende stappen:
1. Plaats het certificaat in de <icaclient>/linuxx64/keystore/cacerts
2. Draai <icaclient>/linuxx64/util/ctx_rehash
De <icaclient> locatie zal afhangen van de manier waarop de Citrix Workspace is geïnstalleerd. Op mijn machine is het de “ICAClient” directory onder mijn home directory.
3. Als je het Staat der Nederlanden certificaat nog niet hebt, dan zou je het met het volgende commando kunnen ophalen:
cd /tmp && echo "" | openssl s_client -showcerts -connect portaal.cloud-wp.nl:443 | csplit --prefix cert.tmp. - '/END CERTIFICATE/+1' '{*}' > /dev/null && grep -l "BEGIN CERTIFICATE" cert* | while read fn; do cn=$(openssl x509 -in "${fn}" -noout -subject -nameopt sname | sed 's:^.*CN=::') && [ -n "${cn}" ] && openssl x509 -nameopt sname -in "${fn}" -out "${cn}.pem" -subject -issuer -dates; done && rm -f cert.tmp.[0-9]*
Als dit commando succesvol draait, dan zou je een aantal *.pem bestanden moeten hebben in /tmp, waaronder “Staat der Nederlanden Root CA - G3.pem”."
Bij stap 1: ik heb een (verborgen) map .ICAClient, maar geen submappen die lijken op die in stap 1.
Bij stap 2: dat kan ik niet draaien, locatie heb ik niet en bestand 'ctx-rehash' zie ik niet.
Bij stap 3: het certificaat "Staat der Nederlanden Root CA - G3" is het certificaat dat het probleem veroorzaakt. Ik heb dat volgens mij echter wel: Root-CA-G3.cer heb ik onlangs gedownload. Is er een map waarin ik dat kan plaatsen en dat dan het probleem is opgelost? Want de code die de helpdesk geeft begrijp ik niet en ga ik niet zo maar uitvoeren.
Heel graag zou ik jullie adviezen hierover krijgen.
vanadium:
Stap 1: <icaclient> staat voor de locatie waar citrix geïnstalleerd is. Bij mij is dit in een systeemfolder, "/opt/Citrix/ICAClient" (Zo. Linux is hoofdlettergevoelig). Certificaten staan dus in /opt/Citrix/ICAClient/keystore/cacerts/. De verborgen map waar jij naar verwijst, wordt automatisch aangemaakt wanneer je Citrix client voor het eerst opstart, en bevat je gebruikersdata. Dat is *niet* de installatiemap.
In mijn geval is de installatiefolder een systeemmap. Je moet in dat geval beheerder zijn om daar bestanden (je certificaten) naar toe te kunnen kopiëren.
Je zal moeten uitvlooien waar je Citrix is geïnstalleerd. Zie onder Stap 2.
Stap 2 Het uitvoerbare bestand "ctx_rehash" staat ergens onder je installatiefolder. Als je dat bestand kan vinden, dan heb je meteen ook de installatiefolder gevonden.
--- Code: ---sudo find / -name ctx_rehash 2>/dev/null
--- Einde van code ---
Bij mij geeft dit "/opt/Citrix/ICAClient/util/ctx_rehash". Dat ingeven aan de terminal en op enter drukken zal bij mij het uitvoerbare bestand ctx_rehash opstarten.
Stap 3 lijkt mij in werkelijkheid Stap 1 te zijn. Je haalt er het certificaat mee op. Je moet het certificaat eerst hebben vooraleer je het naar de keystore/cacerts/ kan kopiëren.
Ik begrijp dat commando ook niet, maar je zal niet veel anders kunnen. Ik vermoed dat na afloop het certificaat in de folder /tmp zal staan. Het certificaat wat je nodig hebt, zou "Staat der Nederlanden Root CA - G3.pem" moeten heten. Het is dat bestand dat je in de keystore/cacerts/ moet plaatsen.
Ronaldus:
Probeer het eens met Chromium (of Chrome).
Ik werk sowieso regelmatig thuis (ook een overheidsinstelling). Met Firefox lukt dat mij niet meer. Met Chromium wel. Gewoon de Workspace-app geïnstalleerd en het werkt.
https://www.citrix.com/downloads/workspace-app/linux/workspace-app-for-linux-latest.html
DirkJan:
Ik liep tegen hetzelfde probleem aan. Ben dus gestopt met de lokaal geïnstalleerde client en gebruik citrix via de browser. Vreemd genoeg werkt dat bij weer alleen in Firefox en juist niet in Chrome, Chromium en Vivaldi. Vanuit die browsers wordt er een *.ica bestand gedownload wat bij openen (met de client) resulteert in diezelfde melding. Betreft ook hetzelfde certificaat.
Update: ik heb het werkend gekregen. Met dank aan de tip van Vanadium. Er van uitgaande dat je de laatste versie van de Citrix Workspace al hebt geïnstalleerd. Wat ik heb gedaan (in volgorde):
[aangepast n.a.v. onderstaande tips van @Ronaldus en @Vanadium, veiliger werkwijze]
1. Het certificaat opgehaald via
--- Code: ---cd /tmp && echo "" | openssl s_client -showcerts -connect portaal.cloud-wp.nl:443 | csplit --prefix cert.tmp. - '/END CERTIFICATE/+1' '{*}' > /dev/null && grep -l "BEGIN CERTIFICATE" cert* | while read fn; do cn=$(openssl x509 -in "${fn}" -noout -subject -nameopt sname | sed 's:^.*CN=::') && [ -n "${cn}" ] && openssl x509 -nameopt sname -in "${fn}" -out "${cn}.pem" -subject -issuer -dates; done && rm -f cert.tmp.[0-9]*
--- Einde van code ---
2. de certificaten staan nu in je /tmp directory en kopieer je naar de cacert directory in de installatiefolder. Bij mij is dat /opt/Citrix/ICAClient/keystore/cacert
Het kopiëren vind ikzelf het handigst door nautilus met rootrechten te starten met
--- Code: ---nautilus admin:///
--- Einde van code ---
NB: op Mint kan dat met
--- Code: ---pkexec nemo
--- Einde van code ---
3. Voer de rehash uit met
--- Code: ---sudo /opt/Citrix/ICAClient/util/ctx_rehash
--- Einde van code ---
De terminal laat dan zien welke certificaten zijn verwerkt.
4. Sluit je computer af (zonder werkte bij mij niet, waarschijnlijk omdat de certificaten bij opstarten worden geladen?)
De volgende stap was voor mij inloggen via de webinterface van Citrix van mijn organisatie. Na inloggen wordt er (automatisch) een *.ica bestand gedownload waarmee je na dubbelklikken de Workspace app opstart en direct in je werkomgeving zit.
plek:
Dank voor jullie duidelijke antwoorden. Met de gecombineerde uitleg van vanadium en DirkJan ben ik een heel eind.
In /tmp staan nu enkele pem-bestanden. Die kan ik echter niet naar /opt/Citrix/ICAClient/keystore/cacerts kopiëren, want daar heb ik geen rechten voor, en ik weet niet hoe ik dat kan wijzigen in root (die het wel kan).
Daarom heb ik in de terminal dit gedaan: sudo cp /tmp/portaal.cloud-wp.nl.pem /opt/Citrix/ICAClient/keystore/cacerts, en dat werkte. Tenminste, voor dit bestand.
Want met dit commando
--- Code: ---sudo cp /tmp/QuoVadis PKIoverheid Organisatie Server CA – G3.pem /opt/Citrix/ICAClient/keystore/cacerts
--- Einde van code ---
lukt het niet. dat QuoVadis PKIoverheid Organisatie Server CA – G3.pem wordt kennelijk niet gezien als één bestand, en het is me niet gelukt dat te veranderen, met bijvoorbeeld tussen " ", tussen ' ' en met puntjes ipv spaties en het streepje.
Zou iemand kunnen uitleggen hoe ik (1) root kan worden en dus wel bestanden kan kopiëren, of (2) hoe ik die bestandsnaam moet veranderen zodat het bij kopiëren in de terminal als één naam wordt gezien? Alvast dank!
Navigatie
[0] Berichtenindex
[#] Volgende pagina
Naar de volledige versie