Problem
User logs onto Citrix Storefront website. User clicks on the Controller icon, to try to launch Controller-on-Cloud. User receives an error.
Symptom
Citrix Receiver
Unable to connect to the server. Contact your system administrator with the following error:
SSL Error 4: The operation completed successfully.
Cause
Limitation of Controller-on-Cloud in some environments
Environment
Example:
In one real-life example, the client device (running Windows 10) had Citrix Receiver version 4.11 installed.
- However a different PC (also using Citrix Receiver version 4.11, but using Windows 7) worked OK.
Diagnosing The Problem
Inside your Windows control panel, look at your installed applications. Check the version of Citrix Receiver installed.
Example:
In one real-life example, the client device had this entry:
Resolving The Problem
Downgrade client device to an older version of Citrix Receiver (Citrix client).
- In one real-life example, the solution was to downgrade to Citrix Receiver 4.6
- In a different real-life example, the solution was to downgrade to Citrix Receiver 4.9
Steps:
1. On the client device, open Control Panel
2. Uninstall the current version of Citrix Receiver:
3. Download an older version of Citrix Receiver
- In one real-life example, the solution was to downgrade to Citrix Receiver 4.6
- In a different real-life example, the solution was to downgrade to Citrix Receiver 4.9
Example
: Downloading version 4.6.
At the time of writing this article, version 4.6 was available here: https://www.citrix.co.uk/downloads/citrix-receiver/legacy-receiver-for-windows/receiver-for-windows-46.html
4. Close all web browsers
5. Perform a default installation of Citrix Receiver (for example 4.6)
6. Launch Citrix Storefront and test.
[{«Product»:{«code»:»SSMRTZ»,»label»:»IBM Cognos Controller on Cloud»},»Business Unit»:{«code»:»BU059″,»label»:»IBM Software w/o TPS»},»Component»:»Controller»,»Platform»:[{«code»:»PF025″,»label»:»Platform Independent»}],»Version»:»10.2.1″,»Edition»:»»,»Line of Business»:{«code»:»LOB10″,»label»:»Data and AI»}}]
Какой вам Citrix? Там их куча:
Citrix Workspace
XenServer … и всё вокруг него
NetScaler … и всё вокруг него
…
А устанавливается … «как обычно» — если вас интересует Citrix Workspace, то:
— заходите на их страницу последней версии (Jul 2, 2019) https://www.citrix.ru/downloads/workspace-app/linux/workspace-app-for-linux-latest.html
— скачиваете DEB пакет…
— пробуете установить с помощью dpkg
— если у вас ничего не получается (Astra Linux CE ведь старенький дистрибутив), то скачиваете с их страницы предыдущие версии клиента … и повторяете делать то же самое…
— платите Citrix их розничную цену по выбранному вами тарифу…
— и наслаждаетесь
Установил Citrix Receiver 13.10, при подключении через веб ошибку пишет, что не удалось подключиться 0.0.0.2.
Может действительно Workspace нужно использовать… попробую.
Спасибо.
Citrix Workspace сейчас при подключении ругается на ошибку SSL 4, а к другому сервер SSL 47.
Понятно, что требует сертификаты, а как понять какие и как их установить?
Прошу прощения, может быть тупым покажусь, просто первый раз с этим всем сталкиваюсь…
Спасибо, значит проблема со стороны серверов…
Понизил версию CW до 18, переделал сертификаты в pem, скопировал их в /opt/Citrix/ICAClient/keystore/cacerts и обновил утилитой ctx_rehash.
Заработало Спасибо всем.
Hello,
I just installed WI on new server due to viruses on old server. Here is my setup….
XenApp and WI both sit behind a TZ190. The WI sits in a DMZ Zone on the TZ190. Keep in mind all was working with the NAT and Access Rules before I installed WI on a new server.
Windows 2008
XenApp 5.0
Windows 2003
WI
CSG
Default Website properties
Default
(All Unassigned)
TCP port 81
SSL port 444
Secure Gateway Configuration
Certification found: Citrix.myrapadocs.com
Secure Socket Layer (SSLv3) and TLSv1
Cipher suite: All
Configure inbound client connections
checked — Monitor all IPv4
TCP port: 443
No Network Interface list
No outbound traffic restrictions
Servers running the STA
Identifier: STA362CE7A8D924 FQDN: WIN08CITRIX (Which is the XenApp Server)
Path: /Scripts/CtxSTA.dll
Protocols settings: Unchecked Secure traffic between the STA and Secure Gateway
TCP port: 8080
Use Default: Unchecked
No connection timeout
No Concurrent connection limits
No Logging exclusions
Access Options
Checked — Indirect & Installed on this computer
TCP port: 81
Logging: Warning, errors, and fatel events
———————————————————————
WI
Site name: XenApp
Site URL: https://Citrix.myrapadocs.com:444/Citrix/XenApp
Farm Name: RAPA Citrix
XML Service: WIN08CITRIX
XML port: 8080
XML transport: HTTP
Authentication: At Web Interface
Available methods: Explicite
Resource type: Online
Available clients: Native clients
Specify Access method: IP Address: Default — Access method: Gateway Direct
Specify Gateway Settings: Address (FQDN) citrix.rapadocs.com
Port: 443
Checked: Enable session reliability
Unchecked: Request tickets from two STA
Secure Ticket Authority URLs: http://WIN08CITRIX:8080/Scripts/CtxSTA.dll
Bypassed failed server for: 1 Hour
I am able to log on to Citrix and see my Apps, however when I click on an APP I get Error —Unableto launch your application: Cannot connect to the Citrix XenApp Server.
SSL Error 4: Attempted to connect using the TLS V1.0|SSL v3.0 protocols. The server rejected the connection.
I am also getting Warning under Event Viewer — ID 125 — Source: Citrix Secure Gateway
SSL handshake from client failed.
Late last night I got Event ID: 30107
Site path: c:inetpubwwwrootCitrixXenApp
The Citrix server reported that they are too busy to provide access to the selected resource. This message was reported from the XML Service at address http://WIN08CITRIX:8080
[com.citrix.xml.NFuseProtocol.RequestAddress].
I appreciate your help and support.
Thanks,
nimdatx
Зачастую после установки SSL-сертификатов многие пользователи сталкиваются с ошибками, которые препятствуют корректной работе защищенного протокола HTTPS.
Предлагаем разобраться со способами устранения подобных ошибок.
Что такое SSL?
SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.
Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.
Причины возникновения ошибок SSL-соединения
Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:
Но при наличии ошибок она выглядит несколько иначе:
Существует множество причин возникновения таких ошибок. К числу основных можно отнести:
- Некорректную дату и время на устройстве (компьютер, смартфон, планшет и т.д.);
- Ненадежный SSL-сертификат;
- Брандмауэр или антивирус, блокирующие сайт;
- Включенный экспериментальный интернет-протокол QUIC;
- Отсутствие обновлений операционной системы;
- Использование SSL-сертификата устаревшей версии 3.0;
- Появление ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера.
Давайте рассмотрим каждую из них подробнее.
Проблемы с датой и временем
Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.
Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.
Ненадежный SSL-сертификат
Иногда при переходе на сайт, защищенный протоколом HTTPS, появляется ошибка «SSL-сертификат сайта не заслуживает доверия».
Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:
- Нажимаем сочетание клавиш Win+R и вводим команду certmgr.msc, жмем «Ок». В Windows откроется центр сертификатов.
- Раскрываем список «Доверенные корневые центры сертификации» слева, выбираем папку «Сертификаты», кликаем по ней правой кнопкой мышки и выбираем «Все задачи — импорт».
- Запустится мастер импорта сертификатов. Жмем «Далее».
- Нажимаем кнопку «Обзор» и указываем загруженный ранее сертификат. Нажимаем «Далее»:
- В следующем диалоговом окне указываем, что сертификаты необходимо поместить в доверенные корневые центры сертификации, и нажимаем «Далее». Импорт должен успешно завершиться.
После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.
Брандмауэр или антивирус, блокирующие сайт
Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.
Также SSL может блокировать антивирусная программа. Попробуйте отключить в антивирусе проверку протоколов SSL и HTTPS и зайти на сайт. При необходимости добавьте сайт в список исключений антивируса.
Включенный экспериментальный протокол QUIC
QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.
Показываем как отключить QUIC на примере браузера Google Chrome:
- Откройте браузер и введите команду chrome://flags/#enable-quic;
- В появившемся окне будет выделен параметр: Experimental QUIC protocol (Экспериментальный протокол QUIC). Под названием этого параметра вы увидите выпадающее меню, в котором нужно выбрать опцию: Disable.
- После этого просто перезапустите браузер.
Этот способ работает и в Windows и в Mac OS.
Отсутствие обновлений операционной системы
Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.
Использование SSL-сертификата версии 3.0
Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):
- Откройте браузер и перейдите в раздел «Настройки».
- Прокрутите страницу настроек вниз и нажмите «Дополнительные».
- В разделе «Система» найдите параметр «Настройки прокси-сервера» и кликните на него.
- Откроется окно. Перейдите на вкладку «Дополнительно».
- В этой вкладке вы увидите чекбокс «SSL 3.0».
- Поставьте галочку в чекбоксе, нажмите кнопку «Ок» и перезагрузите браузер.
Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера
В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:
- Неправильное имя FQDN (полное имя домена) в качестве Common Name (в некоторых панелях управления это поле может также называться Host Name или Domain Name). В этом поле должно быть указано полное доменное имя вида domain.com или subdomain.domain.com (для субдоменов). Имя домена указывается без https://. В качестве данного значения нельзя использовать интранет-имена (text.local). В запросе для wildcard-сертификатов доменное имя необходимо указывать как *.domain.com.
- В CSR или пароле есть не латинские буквы и цифры. В CSR поддерживаются только латинские буквы и цифры – спецсимволы использовать запрещено. Это правило распространяется и на пароли для пары CSR/RSA: они не должны содержать спецсимволов.
- Неверно указан код страны. Код страны должен быть двухбуквенным ISO 3166-1 кодом (к примеру, RU, US и т.д.). Он указывается в виде двух заглавных букв.
- В управляющей строке не хватает символов. CSR-запрос должен начинаться с управляющей строки ——BEGIN CERTIFICATE REQUEST—— и заканчиваться управляющей строкой ——END CERTIFICATE REQUEST——. С каждой стороны этих строк должно быть по 5 дефисов.
- В конце или начале строки CSR есть пробелы. Пробелы на концах строк в CSR не допускаются.
- Длина ключа меньше 2048 бит. Длина ключа должна быть не менее 2048 бит.
- В CRS-коде для сертификата для одного доменного имени есть SAN-имя. В CSR-коде для сертификата, предназначенного защитить одно доменное имя, не должно быть SAN (Subject Alternative Names). SAN-имена указываются для мультидоменных (UCC) сертификатов.
- При перевыпуске или продлении сертификата изменилось поле Common Name. Это поле не должно меняться.