SSL Archive

0

StoreFront erreur : Cannot complete your request

Si vous rencontrez un jour l’erreur “Cannot complete your request” après l’étape du login dans un StoreFront, on vous invite à vérifier que le certificat présent dans vos StoreFront est bien valide et surtout que le “Chemin d’accès de certification” est complet et sans erreur 😉 .

 

 

Dans notre cas ce qui nous a mis sur la piste du certificat est l’event ID 17 présent sur les StoreFront) :

 

Log Name: Citrix Delivery Services
Source: Citrix Receiver for Web
Event ID: 17
Description:
Failed to run discovery
Citrix.Web.DeliveryServicesProxy.ConfigLoader.DiscoveryServiceException, ReceiverWebConfigLoader, Version=3.15.0.0, Culture=neutral, PublicKeyToken=null
An error occurred while contacting the Discovery Service

System.Net.WebException, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
Url: https://127.0.0.1/Citrix/UT09/discovery
ExceptionStatus: TrustFailure

 

Au moins c’est clair 🙂 .

 

Dans le cas présent c’est une suite de problèmes sur la PKI (dont un mémorable rennomage…..) qui a généré un certifcat assez roccambolesque lors du renouvellement du certificat des StoreFront.

 

Une fois la PKI et les certificats restaurés tout est revenu à la normale.

Nous sommes partagés par regarder Gaston Lagaff ou faire un Cludeo.

 


Ok pour le Cluedo, on veut trouver le coupable 🙂

 

 

 

 

 

2

Vérifier la validité d’un certificat SSL

Récemment nous avons constaté qu’on ne monitorait pas la validité des certificats SSL de nos StoreFront et Netscaler/F5)  (on avait juste des alertes émanant des collègues de la sécu).

Un script PowerShell plus loin c’est chose faite 🙂 :

 


Les certificats ayant une date d’expiration inférieur à 30 jours apparaissent en warning 😉



Dans un prochain billet nous vous indiquerons comment remonter ces valeurs facilement dans Zabbix via un agent actif.

 

Pour utiliser le script il faut au préalable modifier ce dernier en ligne 2 afin de rentrer les urls à checker (si vous souhaitez modifiez le seuil d’alerte des 30 jours, modifiez la valeur “30” en ligne  33 du script.

 



CheckSslExp.ps1


Pour notre script nous nous sommes inspiré du post “How to read Certificates and CRLs using PowerShell” de nos collègues de NETWORKWORLD.

 

 

1

VDI-in-a-Box erreur: unable to fetch the datastore and network information from the hypervisor…

Lors de l’installation de VDI in a Box 5.1 nous sommes tombés sur l’erreur “unable to fetch the datastore and network information from the hypervisor...”

Après un rapide google, on trouve quelques threads sur le sujet mais rien qui nous concerne, reste la piste réseau 🙂

Et voilà le 443 n’était pas ouvert entre l’ESXi et le serveur VDI-in-a-Box (Kaviza quoi)….. A quand un check de ports durant l’install 🙂

Quelques threads sur l’erreur “unable to fetch the datastore and network information from the hypervisor…” :
http://forums.citrix.com/thread.jspa?threadID=295339
http://forums.citrix.com/thread.jspa?threadID=297624