Необходимо организовать защищенный удаленный доступ на сервер W2K3 Std SP2 + Citrix PS 4.5 Russian Edition. На сервер установлен продукт КриптоПро 3.6 R3. В IIS импортирован сертификат Windows. Citrix Secure Gateway изначально настроен с данным сертификатом, потом заменен на сертификат CryptoPro согласно данной статье http://support.citrix.com/article/CTX118986 . Сертификат криптоПро выдан вашим тестовым центром.
При попытке доступа с клиента по SSL в логах службы Citrix Secure Gateway на сервере появляются следующие записи:

[warn] SSL handshake from client failed
[error] SSL Library Error 5 on имя_сервера:443 with peer IP-адрес клиента: An unclassified SSL error occurred. (error code: 0x80090301 - The handle specified is invalid)

Если сертификат Windows не заменять на сертификат Криптопро все работает отлично.

В чем может быть причина ошибки?

Отредактировано модератором 10 апреля 2019 г. 13:47:46(UTC)  | Причина: Не указана

Клиент стоит из дистрибутива 4.5 Russian Edition прямо на сервере. И не работает.
Причем не отображается даже Web страница Citrix, а не то что запуск приложений

Отредактировано пользователем 13 февраля 2013 г. 9:05:39(UTC)  | Причина: Не указана

На сервере не нужен,согласен, но для проверки он должен работать, без разницы откуда я подключаюсь с сервера или с другого клиента.
Все роли Citrix сейчас у меня соединены на одном сервере. Рутовый сертификат нас сервере соответственно есть. У меня не то, что приложение не запускается, а даже не отображается Web страница Citrix.
Заметил также в разделе eventlog\application такую ошибку:
CryptoPro TLS. Error 0x80090016 calling CSP: Keyset does not exist

WI настроен как Direct Gateway. (без КриптоПро все отлично работает по Microsoft сертификату).
Как делал с криптопро.
1. Создал запрос на сертификат через IIS (Сертификат проверки подлинности сервера)
2. По запросу из ЦС получил сертификат (Microsoft. Алгоритм шифрования RSA)
3. В IIS завершил выполнение запроса и получил готовый сертификат, который появился в разделе Local Computers/Personal/Certificates
4. В Trusted Root... добавил рутовый сертификат.
5. В Secure Gateway подставил данный сертификат. Закончил настройку SG и все заработало (С Microsoft сертификатом).
6. Далее поставил CryptoPro CSP 3.6 R3
7. Зашел на http://cryptopto.ru/certsrv и выписал там сертификат проверки подлинности сервера (соответственно алгоритм ГОСТ)
8. Получил сертификат (который появился в разделе Local Computers/Personal/Certificates)
9. В Trusted Root... добавил рутовый сертификат КриптоПро.
10. Далее по статье http://support.citrix.com/article/CTX118986 подменил thumbprint в файле httpd.conf на thumbprint от Гостового сертификата.
11. Перезагрузил сервис SG
12. После этого захожу на https://domain.local (просто пример) получаю ошибку "Internet Explorer cannot display the webpage".
13. Меняю обратно в SG сертификат на Microsoft (без подмены thumbprint) все снова работает.

Я так понимаю, он не может прочитать сертификат КриптоПро. Но в тоже время CryproPro CSP видит выданный сертификат (выданный на компьютер)

Private key есть. С сертификатом все ок. Вся цепочка читается.
Лицензии на КриптоПро нет. (поставил только что скачанную. То есть в триальном режиме).
Диагностика CSG проходит без ошибок.