通过证书管理解决"无法连接 Citrix XenApp SSL 61 您还未选择信任证书颁发者"的问题

最近在使用Citrix Receiver连接的时候，发生了"无法连接，Citrix Receiver (XenApp) SSL 61 您还未选择信任证书颁发者…"的问题。通过证书管理功能从导入证书解决了这个问题。

问题现象和分析

首先，现象在这个帖子有描述 https://tieba.baidu.com/p/5726814088 无法连接服务器。请联系您的系统管理员并提供一下错误: SSL 错误 61: 您还未选择信任服务器的安全证书颁发者 “XX CA”。

这是因为系统在使用Citrix SSL通道通信时，服务器提供的证书未在Citrix Receiver客户端注册，导致连接无法建立。

知道问题就比较容易解决了。先找到这个证书，可以找管理员要，也可以从其他有证书的地方导出一个来。

Windows下证书管理

在Windows上，选择开始菜单在查找/运行框中(也可以用Windows键+R键打开运行框)，输入mmc命令回车。

选择菜单的文件->添加/删除管理单元(M)…

在左侧可用管理单元中选择“证书”，点"添加"按钮

选"计算机账户"点“下一步”按钮

选择"本地计算机"点"完成"按钮

点击"确认"按钮

这时就初始化好了证书的控制台。

我们的证书一般在中级证书颁发机构下的证书中

可以选择上面报错中提示的名字，比如这个Root Agency，我们在导出的计算机上双击打开它打开"证书路径"Tab看一下有效性。如果正常，会显示“该证书没问题。”

选择证书按右键菜单选择所有任务->导出或从操作栏选择导出

选择一个证书格式，如二进制，再选择一个文件名保存好。

在另一台机器上，用同样的方式导入。

需要注意的是，导入时仅有证书机构本身是不够的。需要颁发者也要相应地导出和导入。

所以，用同样的方式，查找目标证书的颁发者。比如“受信任的根证书颁发机构”下的“证书”可以找到。

需要也要保证相应的机构证书也导出并导入运行Citrix Receiver的计算机。

此时，就可以看到报错的那个中级证书颁发机构的证书状态已经是“证书没有问题”这个状态了。

详细可以参考这个步骤 https://24x7itconnection.com/2015/03/10/you-can-fix-it-yes-you-can-citrix-xenapp-ssl-error-61/ 。

微软官方的说明在这里，不过比较难读。
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc754841(v=ws.11)?redirectedfrom=MSDN

Linux下证书管理

如果是Linux版的Citrix Receiver，可以参考以下文章，借助Firefox找到相应证书导出成pem，再用OpenSSL转换成crt，最后放到Citrix Receiver的ICAClient下keystore的cacerts
https://www.cnblogs.com/kozmers/p/12346751.html

/opt/Citrix/ICAClient/keystore/cacerts$ sudo openssl x509 -in GlobalSignRootCA.crt -out GlobalSignRootCA.pem

sudo cp ~/tmp/cert/GlobalSignRootCA.crt /opt/Citrix/ICAClient/keystore/cacerts/