Hallo wissende Gemeinschaft!

Ich habe gerade versucht mich über den Safari (_TS-Desktop) in die Citrix-Session mit Hilfe des Citrix Workspace einzuloggen. In die _TS-Session im Safari komme ich noch problemlos rein, wenn ich dann jedoch auf „Öffnen“ klicke, was typischerweise die Citrix Workspace-Anwendung öffnet, erscheint folgende Fehlermeldung:

Sie vertrauen ’Certum Domain Validation CA SHA2’, dem Herausgeber des Sicherheitszertifikats des Servers, nicht.
Wenden Sie sich an den Helpdesk.
BEENDEN

Vor einigen Tagen hat es noch einwandfrei funktioniert. Ich habe im Schlüsselbund mal alle „Certum“-Zertifikate geprüft und tatsächlich ist kein SHA2-Zertifikat dabei. Aber warum von jetzt auf gleich?

Hat jemand ähnliche Probleme/Erfahrungen?

Besten Dank vorab!

…ich sollte vielleicht noch ergänzen, dass die Anmeldung auf dem identischen Weg auf einem Windows-PC problemlos funktioniert…

Weil das die normale und gewollte Funktion von Zertifikaten ist. Jedes Zertfikat läuft irgendwann ab, was sekundengenau bestimmt ist.

Nach Deiner Beschreibung wurde möglicherweise das Zertifikat auf dem Server aktualisiert, aber verwendet jetzt eine andere Beglaubigungskette. Falls diese Annahme stimmt, musst Du das Zwischenzertifikat von "Certum Domain Validation CA SHA2" nachinstallieren.

Das passende Zertifikat findest du hier
Scheint in der Hinsicht ein Exot zu sein. I.d.R. hat macOS die "wichtigsten" RootCAs im Bauch.
Interessant ist allerdings, dass der Login auf der Webseite selbst noch funktioniert. Vertraut Safari denn dem Herausgeber des Zertfikats von der Webseite selbst, oder bekommst du dort auch schon eine Zertifikatswarnung?

Remigius

Bei mir hilft in wirklich allen Fällen ein Update der Workspace App. Das automatische Update von Citrix funktioniert bei mir nicht zuverlässig. Den Zertifikatsfehler hatte ich glaube ich auch schon mal dabei.

caMpi

SUPER!!! 😃👏👏👏

DAS war‘s!! Danke auch für das konkrete zeigen des entsprechenden Zertifikats. Beim Vorab-Recherchieren bin ich ebenfalls auf diese Seite gestoßen, wollte aber aufgrund der Menge der vielen verschiedenen Zertifikate jetzt nicht einfach wild alles installieren.

Allerbesten Dank nochmal - Problem gelöst 😊👍

Marcel Bresink

Hallo Marcel!

Schon völlig klar, dass das die Aufgabe von Zertifikaten ist, ABER: Sollte ich das abgelaufene Zertifikat dann nicht wenigstens im Schlüsselbund vorfinden? Denn eines mit dem jetzt manuell installiertem Namen ist nicht vorhanden 🤷‍♂️

Es gibt ja mehrere Schlüsselbünde. Manuell installierte Zertifkate tauchen i.d.R. in den Zertifikaten vom Schlüsselbund "Anmeldung" auf.
Dennoch frage ich mich, ob Safari nicht auch schon eine Zertifikatsmeldung geworfen hat.
Da ich den Kram auch massenweise installiere, müsste das der Fall gewesen sein.

Nein, denn der Schlüsselbund speichert nur besonders vertrauensvolle Stammzertifikate (unter System-Root) oder aber ungültige, nicht vertrauensvolle Zertifikate, denen "von Hand" vertraut werden soll.

Und dann kann man noch vertrauensvolle andere Zertifikate speichern, die Apple nicht ab Werk mitliefert, weil sie für die Allgemeinheit keine wichtige Bedeutung haben. Das ist hier wohl der Fall.

Wenn das einfach per Doppelklick installiert wurde, gilt es nur für Dich selbst, ist also nicht im Systemschlüsselbund, sondern im privaten Schlüsselbund "Anmeldung" zu finden.

Remigius
Du hast nicht geschrieben, welches macOS Du nutzt (warum ist das immer so schwer?). Bei Certum gab es jüngst einen größeren Umbau bei den Root-und Zwischenzertifikaten. macOS 15 (und möglicherweise 14) hat die neuen Zertifikate vorinstalliert, frühere macOS-Versionen aber nicht.
Certum Digital Identification CA SHA2 gab es zuvor schlicht nicht; das ist ganz neu.