Web Interface 5.4 e certificati SSL SHA2 (SHA256)

28 Aprile 2015 Francesco Lascia un commento Vai ai commenti

La sicurezza dell’algoritmo di hashing SHA1 è ormai in dubbio dal 2011, ma solo nell’ultimo anno le Certification Authority pubbliche hanno cominciato a rilasciare certificati SHA256. Quelle realtà che hanno implementato l’accesso agli XML Server (XenApp o XenDesktop) tramite SSL hanno tristemente scoperto che la Web Interface 5.4 non supporta i certificati SHA256.

Il problema è noto (CTX139047) e risiede in una vecchia dll utilizzata dalla Web Interface per la gestione dei certificati.

Questa dll va pertanto sostituita con una versione più recente, disponibile solo tramite il Supporto Citrix. Per risolvere il problema, è necessario passare in rassegna ogni sito Web Interface (XenApp Site o XenApp Service) entrare nella cartella Bin e sostituire il file netsslsdk.dll con la versione nuova (attualmente versione 12.1.0.23539). Non rinominate la vecchia dll, ma sostituitela del tutto, perché la Web Interface legge tutti i file presenti nella cartella!

Ovviamente ogni nuovo sito creato (o in caso di Repair) avrebbe la vecchia dll, a meno di non andare a modificare gli archivi zip presenti nella cartella di setup della Web Interface (common.zip).

Per ulteriori informazioni:

  1. Andrea
    30 Aprile 2015 a 11:54 | #1

    Ma il problema si pone solo se pubblico certificato SSL direttamente su IIS dove sta la Web Interface immagino. Perchè reversandola con Access Gateway non ho riscontrato alcuna anomalia al momento.

  2. 3 Maggio 2015 a 18:29 | #2

    Ciao Andrea,
    il problema è legato al modo in cui il codice della Web Interface gestisce le comunicazioni SSL. Se il certificato è su IIS tutto funziona correttamente, perché è appunto IIS che gestisce il traffico e la cifratura.
    In particolare il problema si verifica solo se stai cercando di contattare il servizio XML di XenApp o XenDesktop in SSL, quindi nell’utilizzare certificati SHA256 esterni alla WI.

    Ciao,

    Francesco

  1. Nessun trackback ancora...