老哥，我之前在Ubuntu 17.10上折腾Citrix Receiver的SSL问题时，跟你遇到的情况一模一样！试过换版本、导证书、哈希操作都没用，后来终于找到几个能解决的办法，给你列出来：

方案1：让Citrix复用系统根证书池 #

Citrix Receiver默认会用自己独立的证书目录，不会自动读取系统的根证书，这是很多SSL连接失败的根源。你可以把系统的Mozilla根证书软链到Citrix的证书目录里：

• 先确认Citrix证书目录路径，一般是 /opt/Citrix/ICAClient/keystore/cacerts/
• 执行软链命令（一次性把所有系统根证书链过去）：

  sudo ln -s /usr/share/ca-certificates/mozilla/* /opt/Citrix/ICAClient/keystore/cacerts/
  

• 必须执行Citrix的哈希更新命令，让它识别新证书：

  sudo /opt/Citrix/ICAClient/util/ctx_rehash
  

方案2：精准导入浏览器导出的证书 #

你之前导出证书后没用，大概率是导入位置或格式不对，按这个步骤来：

1. 从浏览器导出证书时，**一定要选Base64编码的X.509 (.CER)**格式，保存成citrix-server-cert.pem
2. 把证书复制到Citrix的证书目录：

   sudo cp citrix-server-cert.pem /opt/Citrix/ICAClient/keystore/cacerts/
   

3. 再次执行哈希更新（必须用sudo，否则权限不够生成哈希文件）：

   sudo /opt/Citrix/ICAClient/util/ctx_rehash
   

方案3：调整Citrix的SSL验证策略 #

如果上面的方法都没用，可能是Citrix的SSL验证太严格，先临时关闭验证测试：

• 编辑Citrix的全局配置文件：

  sudo nano /opt/Citrix/ICAClient/config/All_Regions.ini
  

• 找到[Network\Security]区块，修改以下参数：

  SSLClientCertificates=/opt/Citrix/ICAClient/keystore/cacerts/
  TLS1.0=On
  TLS1.1=On
  TLS1.2=On
  SSL3.0=Off
  ValidateServerCertificate=Off
  

  如果修改后能连接，说明还是证书的问题，记得之后把ValidateServerCertificate改回On，再重新检查证书导入的步骤。

方案4：安装兼容Ubuntu 17.10的Citrix版本 #

Ubuntu 17.10是比较老的版本，最新版的Citrix Receiver可能依赖的库你的系统没有，建议下载13.8版本的Receiver（这个版本对老Ubuntu兼容性很好），不要用最新版。

内容的提问来源于stack exchange，提问作者unnic