XenApp Fundamentals

passeloic · Juillet 1, 2009, 1:15

Bonjour,

j’ai installé XenApp Fundamentals 2.0, aucun problème d’installation, le soucis est à la connexion, j’ai bien générer le certificat afin de pouvoir me connecter, mais il me met une erreur SSL 61 : vous n’avez pas choisi de faire confiance à “nom du serveur” . Le problème n’est pas présent sur un poste intégré au domaine.

J’aurais besoin de votre aide.

Merci à vous.

Loïc.

ThinIsFat · Juillet 1, 2009, 1:35

Bonjour,

As-tu vérifié l’ensemble des étapes indiquées dans http://support.citrix.com/article/ctx711855

l’article détaille la large majorité des erreurs SSL et l’erreur 61 est bien sûr listée. le fait que cela ne se produise pas pour les postes du domaines semble indiqué que le certificat racine est intégré par l’AD

passeloic · Juillet 1, 2009, 2:18

Merci pour ta réponse.

J’ai biensûr essayer et parcouru un bon nombre de forum, sans succès. Une autre idée ?

Merci.

Loïc.

ThinIsFat · Juillet 1, 2009, 3:09

donc le certificat racine est installé correctement sur la machine cliente ? il est bien listé dans la MMC ?

MMC/Add Remove Snapp-in / Add / Certificates / Computer Account / Local

Puis

Trusted Root Certification Authority

il est bien dans la liste ?

j’ai inclus un screenshot pris sur mon PC (hors domaine) pour quelques exemples de certifications privées

passeloic · Juillet 1, 2009, 5:50

Il apparait bien dans mes certificats.

Le problème ne peut pas venir du port utiliser pour accèder à l’interface CITRIX

Car j’utilise le port 8080 pour la connexion à l’interface Web

port 446 pour le SSL

port 1494 pour ICA

J’ai bien modifier toute la config au niveau du CITRIX et de la gestion IIS.

ThinIsFat · Juillet 2, 2009, 7:01

donc tu n’utilises aucun des ports officiels pour la communication externe (le 1494 ne sort pas de ton environnement)

tu pourrais faire un schéma meme grossier car XAF partage une seule boite pour tous les éléments qui sont normalement séparés (par “normalement” j’entends pour une société utilisant XA)

si je comprends, tu as SRV1 qui héberge IIS + WI + SG + XAF

éventuellement un SRV2 avec XAF

IIS a un site dédié sur 8080 sur lequel tu as installé la WI

tu as configuré SG pour le port 446

tu indiques que les certificats sont bien présents au bon endroit sur les postes hors domaine. Les postes du domaine peuvent se connecter à XAF, y compris s’ils sont dans les mêmes conditions que les postes hors domaines ? j’entends par là, même sous réseau, même équipement local (firewall, router etc)

d’expérience, l’erreur 61 a toujours indiqué un problème avec le certificat racine et autant IIS accepte de by passer cela, autant SG est beaucoup plus strict.

Astu un warning de IIS (donc de la WI) concernant le certificat ? tu es bien en SSL avec la WI ?

passeloic · Juillet 6, 2009, 6:21

Bonjour,

J’ai pu avancer un peu sur le problème, mais le problème de certificat est toujours présent…avec le support d’une société, ils m’ont fait refaire une installation complète de fundamental… super ! maintenant l’erreur est présente en externe mais aussi en interne…ce qui n’était pas le cas avant…

Tjrs la même erreur SSL 61… je suis newbie, peux tu m’indiquer à quel endroit je peux vérifier que la WI est bien en SSL…

Merci de ta patience.

Loïc.

ThinIsFat · Juillet 6, 2009, 6:58

facile : est-ce que le site web d’IIS est configuré pour du SSL ?

pour info, le port 8080 pour WI n’a rien de standard ni la configuration de SG sur le 446

peux tu configurer la SG sur un autre port ?

si tu as de nouveau le souci en interne apres une “reconfiguration” de XAF, alors ils ont peut etre changer le certificat. cela donne quoi une connexion depuis la console XAF ? lancer la WI depuis la console du serveur XAF je veux dire

un petit coup de quickstart pour tout reconfigurer serait peut etre le bienvenu… il est tout à fait possible de s’en sortir sans cela mais c’est peut etre difficile pour un newbie ;D (sans offense hein)

passeloic · Juillet 6, 2009, 7:42

J’ai fait des modifications, j’utilise le port 80 par contre j’ai pas le choix pour le SSL - c’est 446 car le port 443 est déjà utiliser pour notre serveur Exchange. Au niveau de IIS, c’est le port SSL 446 qui est configurer, au niveau du site externe, j’ai bien configurer le port 446. Maintenant j’ai un message d’erreur : Le serveur SSL Citrix que vous avez sélectionné n’accepte pas les connexions.

J’avance au fur et à mesure…merci pour ton aide.

Loïc.

ThinIsFat · Juillet 6, 2009, 7:54

donc l’accès WI en 80 fonctionne. quid d’accéder à la WI via https://monsite:446 ?

je conseile de faire une regle dans l’outil de configuration de SG 3.0 pour indiquer un chemin d’accès dierct quand tu viens du LAN => les users passeront sur le 1494 au lieu de passer par la SG3.0

passeloic · Juillet 6, 2009, 8:05

l’accès https://monsite:446/ ne fonctionne pas…pas de réponse… !!! bizarre…

Peux-tu me donner des infos pour la création de la regle ?

ThinIsFat · Juillet 6, 2009, 8:51

si dans IIS l’accès SSL est configuré et sur 446 alors https://FQDN:446 doit passer

pour la config de SG 3.0 et WI, il faut regarder dans le guide d’admin de WI.

sinon une modif manuelle de webinterface.conf (cherche le fichier) en mettant par exemple :

ClientAddressMap=172.16.250.45/255.255.255.0,SG,*,Normal

CSG_Server=myfqdn-for-SG.mycompany.com => FQDN (externe) de la SG

CSG_ServerPort=443 => port de SG

CSG_STA_URL1=http://fred-ohio-4 => adresse du STA

en gras par exemple l’adresse IP interne du router par où les connexions externes arrivent