Hallo zusammen,

es ist mir nicht mehr möglich mich via Citrix (so wie in der Vergangenheit) mit dem Firmenrechner zu verbinden.
Letztes mal klappte es noch vor einer Woche, in der Zwischenzeit erschien Ventura 13.7.7
Bin mir nicht sicher ob da eventuell ein Zusammenhang besteht.

Ich erhalte die Meldung ich würde dem Zertifikat nicht vertrauen.
Alle Citrix-Zertifikate welche noch in der Schlüsselbundverwaltung sind, sind „Asbach“
und bereits 2009 beziehungsweise 2013 abgelaufen.

Zur Verbindung wir Citrix-Workspace benötigt => ich gehe auf die Verbindungsseite meines Unternehmens
gebe dort die Zugangsdaten ein und lande in einer Webansicht mit allen meinen erlaubten Anwendungen.
Klicke ich dort das Benötigte an wird eine .ica-Datei geladen.
Diese öffne ich via Doppelklick und werde entsprechend verbunden.

Dieses klappt seit Freitag nicht mehr => Support der Firma sagt Zertifikate werden aktuell erstellt und sind gültig.
Es gab zwar vergangenen Woche Zertifikatsprobleme, aber diese seien behoben.
Habe in diesem Zuge auf die aktuelle Citrix-Workspace-Version aktualisiert (meine war noch von 2023)
Leider ohne Erfolgt => (Fehler-)Meldung sieht wie folgt aktuell aus:


Habt Ihr eine Idee was ich gegebenenfalls machen kann,
oder liege es gegebenenfalls doch an defekten/ungültigen Zertifikaten der Firma?

Bin für jeden Tip/Hinweis dankbar.

Eine echte Idee hab ich nicht, aber wenn es bei mir gar nicht (auch nicht nach Löschen der Cookies) funktioniert, liegt es an einem abgelaufenen Zertifikat.

Immer wieder muss ich die Cookies im Browser löschen, damit die Verbindung aufgebaut wird, aber die Fehlermeldung lautet anders, "Sie können sich zurzeit nicht verbinden" oder so ähnlich, ohne jeden Hinweis, dass das Problem durch Löschen der Cookies behoben wird.

Hilft Dir wahrscheinlich nicht wirklich weiter, aber bei mir funktioniert Citrix (Mac mini M1 Sequoia 15.5), Zertifikat Ablauf 9.10.2025, Citrix Viewer 25.05.0.75 (2505)

Besten Dank für Eure Hinweise,

sehe auf der Citrix-Download-Seite lediglich die WorkspaceApp
einen Viewer kann ich nicht finden:

Cookies löschen leider ohne Erfolg, habe in LittleSnitch für Citrix alle Verbindungen erlaubt.
LittleSnitch sogar ausgeschaltet => leider kein Erfolg, Verhalten wie gehabt.

Der Anmeldeserver in der Firma ist sicher nicht down?

Nein => über das iPad funktioniert es, ist nur zum Arbeiten viel zu klein.

lösch die alten Zertifikate aus der Schlüsselbundverwaltung.

Schon erledigt => leider keine Änderung
Unsere IT zuckt nur mit den Schultern => "mit Mac kenne ich mich nicht aus"

Bist du denn ganz sicher, dass auf dem Mac das gültige Thawte installiert ist? (Im Browser auf das Schloss vor der URL klicken>Zertifikat einblenden>Details>URI klicken>downgeloadetes Zertifikat öffnen und in den Schlüsselbund hängen)

jeti

Schau mal hier:

Mit welchem Browser verwendest du Citrix? Mit Safari? Unsere Firma hat empfohlen für Citrix Microsoft Edge zu nehmen. Damit klappt es bei mir.

Nochmals danke bis hier an alle.

Im Standard via Safari => habe alternativ noch Firefox / Opera / Chrome probiert => leider nix.
Wie bereits erwähnt kam von jetzt auf gleich.

jeti

Bei mir funktioniert Citrix im Safari gar nicht, also, wenn ich die Session im Browser selbst starte und nicht via Workspace. Ich muss den Firefox nehmen.

Das mit dem Zertifikat hast du ausgeschlossen?

Ich arbeite mit Safari. Wenn es mal nicht geht, wechsle ich auf Brave (Chromium Derivat). Daran sollte es (normalerweise) nicht liegen.

Wie schon damals:
Gehst du per Browser auf die Anmeldeseite, müsste dort schon eine Zertifikatswarnung kommen.
Ansonsten ist die Workspace App zu diesem Zeitpunkt schon über die Zertifikatsprüfung hinaus.
Wie lautet die Meldung mit dem nicht vertrauten Zertifikat genau?
Falls du per Browser zugreifst, kannst du das verwendete Zertifikat darüber abfragen.
Dessen CA musst du vertrauen.
Für den Verbidungsaufbau gibt es in dem Fall keine weiteren Zertifikate.

Mich hat mal ein Adblocker in Safari gehindert, mich mit Citrix bei der Arbeit einzuloggen. Mit Brave funktioniert es zum Glück (M1, Sonoma 14.7.7).

Ich nutze citrix v Mac via citrix workspace app seit Jahren. Ich musste wg verbindungsproblemen (es wurde was v zertifikatsproblemen angezeigt) 2x (Abstand v 2-3 Jahre) neue zertifikate irgendwo runterladen und in lokaler mac OS Schlüsselverwaltung speichern (erstaunlicherweise zertifikate von einer öff. Webseite aus so einem katalog runterladen , also hab da noch nicht ganz dessen schutzfunktion verstanden...) und dann ging es wieder.

BIn mir nicht 100%ig sicher ob das bei mir das gleiche prob wie bei dir ist. Aber wie du schreibst ist es bei dir spezifisch für den einen mac, und weil darüberhinaus alle updates etc nun erfolgt sind würde ich in die richtung weiter forschen...

Viel erfolg!

Mit einem neuen Benutzer welchen ich angelegt hatte bin ich auch nicht weitergekommen.
Mir wurde unter diesem das Zertifikat als nicht vertrauenswürdig angezeigt.
In Safari ist ja das Schloß vor der URL weggefallen, diese Abfrage kann jetzt
aus dem Safari-Menü erfolgen: „Details zur Verbindungssicherheit"
Nur von dort konnte ich es nicht aktivieren.

Habe gestern alles was mit Citrix zu tun hat deinstalliert und alle relevanten Zertifikate gelöscht.
Aber, aus zeitlichen Gründen, noch keinen neuen Versuch gestartet.

Vielen Dank bis hier für Eure Hilfestellungen und Denkanstöße.

Was passiert, wenn du diese Schritte unternimmst?

Safari hat kein Schloß mehr vor der URL wie ich bereits weiter oben schrieb
MTN:
ifun:
Wenn ich mir das Zertifikat auf dem neuen Weg anschaue kann ich es nicht sichern
oder den Status ändern, oder ich habe es gestern spät abends übersehen
Nach müde kommt blöd.

JA!

Das hier ist das fehlende Zertifikat:
Runterladen und vertrauen.
Quelle: https://www.sectigo.com/sectigo-public-root-cas-migration

Danke Dir => ich versuch' es und melde mich zurück

Ich bekomme langsam echt die Motten.
Alles neu installiert Citrix, neue Zertifikate (abgelaufene rausgeschmissen)
Brave als Browser zusätzlich probiert => alles ohne den gewünschten Erfolg.
Auf Verdacht „Privat Relay“ ausgeschaltet => selbes Ergebnis in Grün.



Wie bereits erwähnt auf dem iPad mit den „alten“ Einstellungen alles OK

Blöde Frage => kann der Citrix-Server unserer Firma eventuell bestimmte Geräte blocken
auf Grund von IP oder Geräteart etc.? Oder könnte eventuell das UpDate auf 13.7.7 vergangene Woche
der Auslöser gewesen sein. So das eventuell seitens Apple etwas „verstrubbelt“ ist.

Ja, das geht.
Allerdings kommst du dann gar nicht erst so weit.
Zeig doch mal das Zertifikat in deiner Schlüsselbundverwaltung inkl. Dessen Vertrauenseinstellung.

Ich würde behaupten wollen es sollte passen:

In der Zertifikatswarnung steht "Sectigo Public Server Authentication Root R46", das von mir verlinkte Zertifikat ist ebenfalls "Sectigo Public Server Authentication Root R46" und in deinem Schlüsselbund steht "Sectigo Public Server Authentication CA DV R36".
Das ist das falsche Zertifikat.
Edit: Ok, den Namen deines Zertifikats sieht man nicht. Aber den Aussteller. Der ist bei dem Zertifikat aus der Fehlermeldung aber ebenfalls "Sectigo Public Server Authentication Root R46".

Bei mir heißt das Zertifikat "Thawte TLS RSA CA G1", plattformunabhängig. Dürfte organisationsabhängig sein.

Der Aussteller ist die Firma => kann es sein das diese ein Falsches Zertifikat bereitstellen?
Auf dem iPad klappt es ja, wie kann ich dort die Zertifikate einsehen?
Dann könnte ich vergleichen.

Können Zertifikate unterschiedlich nach Plattform sein macOS/iOS/Win etc.?

Nein, der Aussteller ist in dem Fall eine öffentliche Zertifizierungsstelle, Sectigo.
Zum Glück nicht!
Gar nicht. Du kannst dich höchstens durch die Apple KB wühlen . Dort sind die in den jeweiligen OS nach Version vorinstallierten CAs aufgelistet.
Ich hb das mal für dich gemacht.
Das o.g. Zertifikat ist ab iOS 17.4 und macOS 14.4 an Board.
Bei älteren OS muss ein Zertifikat dann halt manuell runtergeladen werden, siehe mein Link oben, in den Schlüsselbund hinzugefügt und auf Vertrauen gestellt werden.
So wie in deinem Screenshot, nur eben mit dem richtigen Zertifikat.

Ich dachte das der Aussteller die Firma ist Zertifikat trägt halt den Namen,
bzw. die Firma für sich das Zertifikat in ihrem Namen bei Setico hat austellen lassen.
Sind Zeritifikate immer öffentlich, oder können diese auch Individuell sein?
Sorry für die eventuell "blöden Fragen", das Ganze Thema ist halt nicht mein Beritt.
Besten Dank für den Link zu Apple.

Dear All.

Hab' nichts von oben gelesen !!! Sah nur Citrix…

Gestern Abend um 21.00 Uhr rief ein Kunde nur »panisch« an, dass er einen Malwareblock von Apple erhalten hat:


Und da das auch Citrix betraf, dachte ich eben schnell, könnte als Info nicht umrelevant sein, da es ggf. einfach ein ganz generelles Problem der App und/oder der Citrix-Server-Seite sein kann. Da er den sowieso nicht nutzt, alles deinstalliert…

Vielleicht hilft die Info ja.

Greetings, C.

So ist es richtig.
Ja, Zertifikate sind per Definition immer „öffentlich“. Zusätzlich gibts zu jedem Zertikat noch einen nicht-öffentlichen Teil, den privaten Schlüssel. Der bleibt immer beim Anforderer bzw. Verwender.
Ohne da jetzt in die Tiefe gehen zu wollen.
Ich glaube aber, das war ehr deine Frage:
Es gibt öffentliche Zertifizierungsstellen, bei der theoretisch jeder ein Zertifikat beantragen kann.
Und dann kann man sich auch seine eigene Zertifizierungsstelle bauen, intern verteilen und verwenden.
Deren Zertifikate vertraut aber automatisch nur der, der auch der ausstellenden Zertifizierungsstelle vertraut.Dann sollte man meinen, dass er das wenigstens von denen ist, die täglich damit zu tun haben.
Aber auch da kann ich dich beruhigen.

Ich könnte mir sogar vorstellen, dass man dein Problem auch auf Seiten der IT lösen könnte.
Sectigo kann ja nicht von heute auf morgen ein neues Stammzertifikat rausbringen und nur noch das nehmen, da fallen ja ziemlich viele alte Geräte hinten runter.
Deswegen kann zusätzlich noch ein weiteres Zertifikat als Aussteller eingetragen werden. Das ist bei Sectigo der Fall, Cross-Signing nennt man das, steht auch in dem verlinkten Artikel weiter oben.
Wenn deine Kollegen allerdings die komplette Zertifikatskette „in Citrix“ angegeben haben, was falsch ist, aber total gerne gemacht wird, könnte das Cross-Signing ausgehebel werden.

Wenn ich einen Browser habe, kann ich das Zertifikat meiner Organisation anzeigen und downloaden. Oder geht das mit Safari (oder Edge) für iPadOS nicht? (Ich habe gerade kein iPad hier, um das auszuprobieren.)

Hatte ich ebenfalls dran gedacht, aber auch keine Möglichkeit entdeckt.

Nochmal: es geht nicht darum, dem Zertifikat zu vertrauen, sondern der Zertifizierungsstelle, die das Zertifikat ausgestellt hat.
Wenn dein Screenshot stimmt, dann musst du das Zertifikat installieren, das ich hier verlinkt hab.

Sooo ich habe auf einem iPad nachgeschaut. Tatsächlich kann ich das Zertifikat über "Daten zur Verbindungssicherheit" aufrufen. Aber ich habe keine Option gefunden, das Zertifikat downzuloaden und/oder im Schlüsselbund zu speichern. Ganz viele Details werden eingeblendet, auch der URI, aber hier bleibt ein Klick darauf wirkungslos.

Wie hast du dieses gemacht unter iPadOS?
Habe keine Möglichkeit gefunden.

Ich rufe in Safari den Citrix Gateway (beginnt bei mir mit cag) auf, in dem ich die Anmeldemaske sehe. Am linken Rand der Adresszeile ist ein Symbol ähnlich Hamburgermenü (Rechteck mir runden Ecken und 2 Striche darunter). Da draufklicken, dann auf die drei Punkte klicken, dann "Details zur Verbindungssicherheit". Unter "Details" sind die Zertifikate, die man anklicken kann und zahlreiche weitere Informationen erhält, aber (im Gegensatz zu MacOS) ohne Downloadmöglichkeit. (Ich hab nicht probiert, den URI in die Browseradresszeile abzuschreiben, kopieren kann man ihn nicht.)

Auf dem Pad und dem Mac werden die identischen Zertifikate angezeigt.

Stellt sich mir die Frage warum es auf dem iPad funktioniert und auf dem iMac nicht
Warum Root R46 verlangt wird (bzw. nicht akzeptiert wird) obwohl auch dieses installiert ist.

Irgendwie erschließt sich mir das ganze Verhalten nicht, langsam beschleicht mich
das Gefühl das in der Firmen-Citrix-Infrastruktur der Wurm drin ist,
und der Support mal wieder vom DAU ausgeht und nicht wirklich Lust hat
das Problem zu lösen, beziehungsweise an der Lösung aktiv mitzuarbeiten.

Vielen Dank auf jeden Fall an alle hier im Forum welche mit Rat und Tat, Tips und Hinweisen versuchen
mir mit Lösungsansätzen zu helfen obwohl es scheinbar komplexer ist als ursprünglich gedacht.

jeti: Ich komme wieder daraufzurück. Auf dem Mac kann ich das Zertifikat durch Klick auf den URI downloaden (auf dem iPad nicht). Das würde ich machen, das Zertifikat doppelklicken, dann will der Schlüsselbund es aufnehmen, Benutzername und Password eingeben und "Hinzufügen" klicken. Ob's was bringt, kann ich nicht prognostizieren. Bei meiner Organisation ist es das Standardvorgehen auf dem Mac.

Ich würde mal folgendes Versuchen, was bei seltsamen Problemen helfen kann:
- Cache löschen
- Private mode verwenden
- mit neuen Benutzer versuchen (kann bei vielen Wehwechen helfen)

Hallo zusammen,

ich kann Entwarnung geben => der Zugriff auf den Firmenrechner ist wieder möglich vom iMac aus.
Heute Vormittag hatte ich es noch versucht ohne Erfolg, seit dem habe ich auch nichts verändert
am Mac und/oder den Zertifikaten (Wetter zu schön ) nur hier mein Leid weiterhin geklagt.
Dachte mir gerade „ach versuch es doch noch einmal“ => 🤩 wow klappt 🎉

Keine Ahnung was passiert ist, aber es funktioniert wieder,
hatte am Freitag Nachmittag noch eine bitterböse Mail an den IT-Support geschickt.
Eventuell hat es ja doch auf der Firmenseite gezwackt (ein Schelm wer dabei Böses denkt )

Ich möchte mich recht herzlich bei Euch allen bedanken welche mir mit Tips/Hinweisen
und Denkanstößen versucht haben zu helfen => auch habe ich über das Thema Zertifikate
aus diesem Thread das eine oder andere noch lernen können.


In diesem Sinne Euch allen noch einen entspannten Sonntagabend
jeti

👍👍👍