Root Zertifikat hinzufügen

Dieses Thema im Forum "Software" wurde erstellt von Thunderblade, 3. Juni 2004.

  1. Thunderblade

    Thunderblade New Member

    Hallo,

    wer kann mir sagen, wie ich ein Root Authority Zertifikat unter OSX hinzufüge?

    Hintergrund: ich muss ein eigenes Zertifikat dem System als Vertrauenswürdig vermitteln. Die Anwendung (Citrix Client) bietet nicht die Möglichkeit, ein nicht verifizierbares Zertifikat trotzdem zu akzeptieren, daher muss ich zwingend meinen Zertifizierer als trusted hinzufügen. Aber wie?

    Doppelklick öffnet mir das Zertifikat via Schlüsselbund, und ich kann es entweder bei "Login", "System" oder "X509 Anchors" speichern. System wäre mir ganz recht, wenn denn meine Interpretation stimmt das der Zertifizierer dann gilt egal wer angemeldet ist.

    Im Schlüsselbund kann ich dann auch sagen, daß Zertifikate von dieser Authority immer vertrauenswürdig sind - aber es ändert nix. Die anderen (Login und X509) habe ich auch ausprobiert, selbes Resultat.

    Wer kann helfen? Dankeschön! :)
     
  2. Kate

    Kate New Member

    Ich kann dir leider nicht doll weiter helfen, ich selber habe den Citrix Client nie eingesetzt.
    Ich kenne Leute bei denen das jedoch gemacht wird und die haben es laufen. Das einzige, was ich von dnen jedoch hörte war, dass der Verbindungstyp von TCP/HTTP auf TCP gesetzt werden musste damit alles lief, von Problemen mit den Zertifikaten habe ich nicht gehört.

    Generell kann man aber Zertifikate per command-line tool "certtool" hinzufügen.

    Das geht etwa so, z.B. mit einem neuen Zertifikat namens neueszertifikat.cer :

    sudo certtool i neueeszertifikat.cer d k=/System/Library/Keychains/X509Anchors

    um das danach zu prüfen:

    certtool y k=/System/Library/Keychains/X509Anchors
     
  3. Kate

    Kate New Member

    Ich kann dir leider nicht doll weiter helfen, ich selber habe den Citrix Client nie eingesetzt.
    Ich kenne Leute bei denen das jedoch gemacht wird und die haben es laufen. Das einzige, was ich von dnen jedoch hörte war, dass der Verbindungstyp von TCP/HTTP auf TCP gesetzt werden musste damit alles lief, von Problemen mit den Zertifikaten habe ich nicht gehört.

    Generell kann man aber Zertifikate per command-line tool "certtool" hinzufügen.

    Das geht etwa so, z.B. mit einem neuen Zertifikat namens neueszertifikat.cer :

    sudo certtool i neueeszertifikat.cer d k=/System/Library/Keychains/X509Anchors

    um das danach zu prüfen:

    certtool y k=/System/Library/Keychains/X509Anchors
     
  4. Thunderblade

    Thunderblade New Member

    Vielen Dank für deine Antwort, Kate.

    Bis zum Certtool war ich auch gekommen, mit dem Ergebnis das mein Zertifizierer tatsächlich eingetragen ist, sprich das Hinzufügen via Keychain war erfolgreich (oder es erscheint mir zumindest so ;) ).

    Das Problem, das du ansprichst hat was mit den XML Diensten der Citrix Server zu tun. Kenne ich auch ;) Allerdings ist der Zugriff via TCP/IP "nichts besonderes", Standardport für ICA ist 1494, das muss man haben.

    Ich setze eine spezielle Variante ein, bei der der ICA Datenstrom über SSL und ein sogenanntes "Secure gateway" getunnelt wird, damit man keine speziellen Ports auf Start- oder Ziel-Firewall öffnen muss. Das Gateway verschlüsselt den Traffic dann nochmal via SSL und muss dem Citrix Client dazu natürlich ein Zertifikat bereitstellen, das zwingend als gültig durchgeht.

    Bei meinen Windowsclients funktioniert auch alles einwandfrei nach dem Hinzufügen des Zertifizierers.

    Der Mac kann aber trotz erfolgreich hinzugefügtem Zertifizierer (wenigstens laut Certtool) meine eigenen Zertifikate nicht prüfen. Das betrifft nicht nur den Citrix Client (dachte auch erst der hätte Bugs), sondern auch die Browser meckern Zertifikate von der gleichen Stelle an. Ich habe leider kein Verisign oder ähnliches Zertifikat zur Hand, sonst würde ich es damit testen.

    Alles ganz schön komisch. Werde wohl mal bei Apple anrufen müssen.
     
  5. Kate

    Kate New Member

  6. Thunderblade

    Thunderblade New Member

    Danke, da war ich auch schonmal zu besuch :)
     
  7. Kate

    Kate New Member

  8. Thunderblade

    Thunderblade New Member

    Stehen ein paar interessante dinge drin, leider komm ich an meinem derzeitigen Standort aus unerfindlichen Gründen nicht mit https ins www obwohl es gehen müsste. *brummel*

    Ich melde mich wenn ich was neues weiss :)
     
  9. Thunderblade

    Thunderblade New Member

    Ich habs. Blödblödblöd.

    Also, der Weg mittels Keychain das Zertifikat hinzuzufügen war völlig richtig. Aber: der Citrix Client bedient sich eines eigenen Rootzertifikatspeichers, in dem das gewünschte RootZert DER kodiert mit der Endung .crt liegen muss. Der Pfad muss heissen "keystores/cacerts" und hat gefälligt unterhalb des ausführbaren Citrix Clients zu liegen.

    Sinn: so kann der Administrator ein eigenes Zertifikat direkt in das Package des Clients hineinpacken, das er an seine User verteilt, was eventuell nicht via LAN sondern WWW abläuft.

    Muss man aber erstmal drauf kommen. :crazy:
     

Diese Seite empfehlen