LKBDE11297: SSL Fehler 40 bei Verbindungsversuch über Citrix Secure Gateway

Symptom

Du erreichst die Website, bekommst aber einen Zertifikatsfehler, der ignoriert werden kann. Beim Versuch, ein Anwendung zu starten, bricht diese mit dem SSL Fehler 40 ab.

Cause

Dieser Fehler wird durch fehlerhafte Zertifikate verursacht. Das Webserver Zertifikat des Citrix Secure Gateway muss dem externen Interface entsprechen.

Solution

Um sich über ein Secure Gateway zu verbinden, muss auf dem Client ein Stammzertifikat installiert sein (entweder von einer eigenen Zertifizierungsinstanz (CA) oder einer öffentlichen zertifizierungsstelle wie Verisign).
Beim Verbindungsaufbau erscheint ein SSL Fehler, der ignoriert werden kann, aber danach scheitert jeder Anwendungsaufruf mit dem SSL Fehler 40.
Dieser Fehler könnte an einem falschen Zertifikat liegen; das Zertifikat des Citrix Secure Gateway muss den Servernamen als Vollqualifizierten Namen (FQDN) enthalten und zwar des EXTERNEN Interfaces, wenn von extern zugegriffen wird.
Um beispielsweise auf die URL "blabla.dyndns.org" über das Internet zuzugreifen, muss dieser als FQDN bei der Erstellung des Stammzertifikates angegeben werden.

Sollte ein Fehler 59 mit einem guten Stammzertifikat auftrtetn, so könnte dies auch an einer Namensungleichheit zwischen Stamm- und Serverzertifikat auf dem Webserver herrühren (verschrieben, anderer Servername im Serverzertifikat,...).

Disclaimer:

About the Author

Author: Wim Peeters - Keskon GmbH & Co. KG

Wim Peeters is electronics engineer with an additional master in IT and over 30 years of experience, including time spent in support, development, consulting, training and database administration. Wim has worked with SQL Server since version 6.5. He has developed in C/C++, Java and C# on Windows and Linux. He writes knowledge base articles to solve IT problems and publishes them on the Lubby Knowledge Platform.