Hallo wissende Gemeinschaft!

Ich habe gerade versucht mich über den Safari (_TS-Desktop) in die Citrix-Session mit Hilfe des Citrix Workspace einzuloggen. In die _TS-Session im Safari komme ich noch problemlos rein, wenn ich dann jedoch auf „Öffnen“ klicke, was typischerweise die Citrix Workspace-Anwendung öffnet, erscheint folgende Fehlermeldung:

Sie vertrauen ’Certum Domain Validation CA SHA2’, dem Herausgeber des Sicherheitszertifikats des Servers, nicht.
Wenden Sie sich an den Helpdesk.
BEENDEN

Vor einigen Tagen hat es noch einwandfrei funktioniert. Ich habe im Schlüsselbund mal alle „Certum“-Zertifikate geprüft und tatsächlich ist kein SHA2-Zertifikat dabei. Aber warum von jetzt auf gleich?

Hat jemand ähnliche Probleme/Erfahrungen?

Besten Dank vorab!

…ich sollte vielleicht noch ergänzen, dass die Anmeldung auf dem identischen Weg auf einem Windows-PC problemlos funktioniert…

Weil das die normale und gewollte Funktion von Zertifikaten ist. Jedes Zertfikat läuft irgendwann ab, was sekundengenau bestimmt ist.

Nach Deiner Beschreibung wurde möglicherweise das Zertifikat auf dem Server aktualisiert, aber verwendet jetzt eine andere Beglaubigungskette. Falls diese Annahme stimmt, musst Du das Zwischenzertifikat von "Certum Domain Validation CA SHA2" nachinstallieren.

Das passende Zertifikat findest du hier
Scheint in der Hinsicht ein Exot zu sein. I.d.R. hat macOS die "wichtigsten" RootCAs im Bauch.
Interessant ist allerdings, dass der Login auf der Webseite selbst noch funktioniert. Vertraut Safari denn dem Herausgeber des Zertfikats von der Webseite selbst, oder bekommst du dort auch schon eine Zertifikatswarnung?

Remigius

Bei mir hilft in wirklich allen Fällen ein Update der Workspace App. Das automatische Update von Citrix funktioniert bei mir nicht zuverlässig. Den Zertifikatsfehler hatte ich glaube ich auch schon mal dabei.

caMpi

SUPER!!! 😃👏👏👏

DAS war‘s!! Danke auch für das konkrete zeigen des entsprechenden Zertifikats. Beim Vorab-Recherchieren bin ich ebenfalls auf diese Seite gestoßen, wollte aber aufgrund der Menge der vielen verschiedenen Zertifikate jetzt nicht einfach wild alles installieren.

Allerbesten Dank nochmal - Problem gelöst 😊👍

Marcel Bresink

Hallo Marcel!

Schon völlig klar, dass das die Aufgabe von Zertifikaten ist, ABER: Sollte ich das abgelaufene Zertifikat dann nicht wenigstens im Schlüsselbund vorfinden? Denn eines mit dem jetzt manuell installiertem Namen ist nicht vorhanden 🤷‍♂️

Es gibt ja mehrere Schlüsselbünde. Manuell installierte Zertifkate tauchen i.d.R. in den Zertifikaten vom Schlüsselbund "Anmeldung" auf.
Dennoch frage ich mich, ob Safari nicht auch schon eine Zertifikatsmeldung geworfen hat.
Da ich den Kram auch massenweise installiere, müsste das der Fall gewesen sein.

Nein, denn der Schlüsselbund speichert nur besonders vertrauensvolle Stammzertifikate (unter System-Root) oder aber ungültige, nicht vertrauensvolle Zertifikate, denen "von Hand" vertraut werden soll.

Und dann kann man noch vertrauensvolle andere Zertifikate speichern, die Apple nicht ab Werk mitliefert, weil sie für die Allgemeinheit keine wichtige Bedeutung haben. Das ist hier wohl der Fall.

Wenn das einfach per Doppelklick installiert wurde, gilt es nur für Dich selbst, ist also nicht im Systemschlüsselbund, sondern im privaten Schlüsselbund "Anmeldung" zu finden.

Remigius
Du hast nicht geschrieben, welches macOS Du nutzt (warum ist das immer so schwer?). Bei Certum gab es jüngst einen größeren Umbau bei den Root-und Zwischenzertifikaten. macOS 15 (und möglicherweise 14) hat die neuen Zertifikate vorinstalliert, frühere macOS-Versionen aber nicht.
Certum Digital Identification CA SHA2 gab es zuvor schlicht nicht; das ist ganz neu.

Weia

In diesem Fall macOS Sonoma und Sequoia.

Ich könnte jetzt in einem ähnlich unterschwellig genervten Frageton, wie Du ihn angebracht hast, antworten, erkläre hierzu jedoch lediglich: Nein, es ist nicht schwer, wurde in diesem Fall jedoch lediglich versäumt. Allerdings hatten alle anderen Beitraggeber, zumindest in diesem Fall, kein Problem mit dieser fehlenden Information und auch in einer durchweg positiv, konstruktiver Form -ohne jedwede Seitenhiebe- auf die korrekte Lösung hinzuarbeiten.

Kannst Du nicht, denn Du hast keinen Grund dazu. Tust es aber dennoch.

Du bist derjenige, der Hilfe will, und dennoch nicht gleich alle wichtigen Informationen bereitstellt. Das bedeutet für mich, der ich helfen will, den Aufwand einer unnötigen zusätzlichen Nachfrage. Natürlich ist das im Einzelfall kein Drama. Es ist aber hier im Forum bei mehr als 50% aller Bitten um Hilfe der Fall. Und diese Gedankenlosigkeit und teils auch Rücksichtslosigkeit (Warum soll ich mir mit meiner Frage sonderlich Mühe geben? Sollen das doch die Antwortenden machen!) nervt auf Dauer eben. Dich jetzt auch noch darüber zu mokieren ist wahrlich nicht angebracht.
Logisch, weil offenkundig kein einziger von denjenigen überhaupt um die neuen Zertifikate von Certum und die damit verbundene Bedeutsamkeit der macOS-Version wusste und daher im Nebel herumstocherte, was den Grund des fehlenden Zertifikats betraf.