Bonsoir à tous,
Sur mon lap j’essaie d’installer CSG v3 sur un 2008 R2. (tout le lab est en 2008 R2 avec XA6).
Mon install se déroule correctement et le wizard va jusqu’au bout. Mais au moment de démarrer la secure gateway celle-ci refuse de se lancer.
Dans les logs de celle-ci j’ai ce message d’erreur :
[error] Unable to load SSL Certificate for server monserveur.mondomaine.lan:443
[hint: SSLCertificateHash]
J’ai pris connaissance de ce thread :
http://www.doctor-citrix.com/forum/index.php/topic,376.0.html
On y trouve notamment cette partie :
When the Secure Gateway service starts, it looks for a certificate with this thumbprint.
Every certificate has a unique thumbprint, which is a hash of all the information
contained within the certificate. A renewal certificate, even if it is issued by the same
CA to the same server FQDN, will not have a matching thumbprint.
Therefore, after replacing an expired certificate with a renewal certificate of the same
name, restarting the Secure Gateway service is not sufficient. The service will fail to
start and append the following error to the file Program FilesSecure
GatewaylogsError_.log:
[error] Unable to load SSL Certificate for server gateway.company.com:443
[hint: SSLCertificateHash]
32
To correct this situation, re-run the Secure Gateway Service Configuration tool and
select the new certificate. This updates the httpd.conf file with the thumbprint of the
new certificate.
J’ai verifié et le thumbprint dans la base de registre correspond bien à celui de moncertificat.
Je précise que j’ai installé un serveur de certificat sur ma WI et que le certificat root est dans les trusted root certification authorities (computer). J’ai créé un certificat via l’interface web de type ‘web server’ pour ma secure gateway et qui est correctement trouvé lors du wizard (quel est le bon conteneur pour lui d’ailleurs?).
Voilà je crois avoir à peu près tout dis.
si vous savez où je me suis loupé ça m’intéresse.
Merci.
otip
tu pourrais mettre ton httpd.conf en PJ ?
quelle taille de clef as-tu sélectionné pour le certificat racine ?
il n’est pas nécessaire d’avoir le certificat racine sur la SG SAUF si la communication depuis la SG vers XenApp (OU XML ou WI etc) doit être faite en SSL.
dernière chose : j’espère que tu n’utilises pas la 3.0… mais plutôt SG 3.2 http://www.citrix.com/English/ss/downloads/details.asp?downloadId=1864025&productId=186
Salut,
Merci pour ta réponse.
Tout d’abord oui je suis bien en 3.2
Ma private key root est en 2048 (RSA#microsoft software storage provider, sha1).
pas contre pas de httpd.conf. ya bug??? ???
++
otip
tu dois avoir un httpd.conf avec SG3.2
peux tu essayer un certificat avec une clef de 1024 ?
Salut,
j’ai remonté mon serveur de certificats (clé root en 1024).
J’ai créé une clé pour mon serveur CSG via la webconsole du certsrv là aussi en 1024.
Ensuite je fais l’install de la secure gateway sans erreur mais à la dernière fenêtre la secure gateway ne veut pas démarrer et j’ai toujours la même erreur dans les logs.
Je vois pas où ça bloque. Je suppose au niveau des certificats mais sans certitude. juste pour info la CSG est une machine sysprepée.
Je continue mes recherches.
otip
Bonsoir,
La private key de mon certificat n’est pas exportable. Est-ce que ça pourrait expliquer mon problème?
(mmc, certificates, computer, local, personnal. Je clic droit sur mon certificat, export. et là je vois que je ne peux pas l’exporter.)
Si vous avez une idée sur la question…
Merci.
otip.
Yep la private key doit etre exportable si mes souvenirs sont bons
Bonjour,
juste un post pour confirmer qu’il faut effectivement une clé exportable dans le certificat. il faut donc pas récupérer le certificat par la webconsole du serveur de certificat car l’option est grisée.
Je suis passé par la MMC et là ça fonctionne.
Reste plus qu’à comprendre ensuite comment on fait pour accèder à la CSG.
J’ai configuré ma WI mais après je ne comprends pas comment “taper” la CSG.
bon…
++
