Как работает механизм проверки корневых сертификатов в Citrix

Возможно, имелся в виду механизм проверки цепочки сертификатов в Citrix. www.claudiokuenzler.com

Citrix создаёт собственный каталог доверенных сертификатов вместо общего пути, который используют большинство дистрибутивов Linux для распространённых корневых сертификатов CA. www.claudiokuenzler.com По умолчанию в этом каталоге находится только несколько сертификатов, чего недостаточно для покрытия большинства сертификатов эмитентов. www.claudiokuenzler.com

Чтобы проверить цепочку сертификатов, можно использовать команду openssl, которая позволяет перечислить всю цепочку сертификатов, отправленных сервером. www.claudiokuenzler.com В начале вывода будет показана цепочка сертификатов, где каждый из них представлен как разная «глубина». www.claudiokuenzler.com

Например, в примере показан сертификат CA «USERTrust RSA Certification Authority» (глубина 2). www.claudiokuenzler.com Это корневой сертификат (Root CA), который выдал промежуточный сертификат (ICA) от Gandi «Gandi Standard SSL CA 2». www.claudiokuenzler.com В итоге ICA Gandi является эмитентом сертификата сервера «citrix.example.com». www.claudiokuenzler.com

Чтобы вручную сохранить корневой сертификат, нужно скопировать последний сертификат из вывода openssl и сохранить его. www.claudiokuenzler.com При этом важно учитывать, что Citrix Workspace загружает только сертификаты с расширением .pem. www.claudiokuenzler.com

Кроме того, в Citrix есть мониторинг корневых сертификатов, который позволяет обнаруживать клонирование цепочки сертификатов и атаки на доверие к клонированным корневым сертификатам путём мониторинга записей в ключи реестра пользователя и машины. docs.citrix.com