Porovnání revizí

Lees hoe u certificaatautoriteiten instelt in Firefox voor Ondernemingen.

[[Template:enterprise]] Als uw organisatie private certificaatautoriteiten (CA’s) gebruikt om certificaten voor uw interne servers uit te geven, kunnen browsers zoals Firefox foutmeldingen tonen, tenzij u ze configureert om deze private certificaten te herkennen. Dit moet vroeg in het proces gebeuren, zodat uw gebruikers geen problemen hebben met het bezoeken van websites. __TOC__ U kunt deze CA-certificaten toevoegen met een van de volgende methoden. =De ingebouwde ondersteuning voor Windows, macOS en Android gebruiken (aanbevolen)= Standaard zoekt Firefox in Windows, macOS en Android naar CA’s van derden die zijn toegevoegd aan de certificaatopslag van het besturingssysteem, en gebruikt het deze. Als u dus uw besturingssysteem hebt geconfigureerd om de privé-CA’s van uw organisatie te vertrouwen, zou Firefox die CA’s zonder aanvullende configuratie moeten vertrouwen. Deze functie kan worden ingeregeld in het tabblad '''Privacy & Beveiliging''' van '''about:preferences''' met het aanvinkveld ''Firefox toestaan om door u geïnstalleerde rootcertificaten van derden automatisch te vertrouwen''. Als alternatief regelt de voorkeur {pref security.enterprise_roots.enabled} in '''about:config''' deze functie. ==Ondersteuning in Windows Enterprise== Firefox kan worden geconfigureerd om automatisch te zoeken naar CA’s die zijn toegevoegd aan de certificaatopslag in Windows door een gebruiker of een administrator en deze te importeren. #[[Template:aboutconfig]] #Zoek naar de voorkeur {pref security.enterprise_roots.enabled}. #Klik op de schakelaar [[Image:Fx71aboutconfig-ToggleButton]] naast deze voorkeur om de waarde naar {pref true} te zetten. #Herstart Firefox. Firefox inspecteert de registerlocatie ''HKLM\SOFTWARE\Microsoft\SystemCertificates'' (overeenkomend met het API-label ''CERT_SYSTEM_STORE_LOCAL_MACHINE'') op CA’s die worden vertrouwd om certificaten uit te geven voor TLS-webserverauthenticatie. Dergelijke CA’s worden geïmporteerd en vertrouwd door Firefox, hoewel ze mogelijk niet worden getoond in de certificaatbeheerder van Firefox. Het beheer van deze CA’s dient te gebeuren met de ingebouwde Windows-hulpmiddelen of andere middelen van derden. Firefox doorzoekt ook de registerlocaties ''HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates'' en ''HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates'' (overeenkomend met de respectievelijke API-labels ''CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY'' en ''CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE''). ==Ondersteuning in macOS Enterprise== Deze functie werkt ook voor MacOS door roots te importeren die worden gevonden in de macOS-systeemkeychain. =Beleid gebruiken om CA-certificaten te importeren= Een [[Customize Firefox using Group Policy (Windows)|ondernemingsbeleid]] kan worden gebruikt om CA-certificaten aan Firefox toe te voegen. *Het instellen van de sleutel ''ImportEnterpriseRoots'' op '''true''' zorgt ervoor dat Firefox rootcertificaten vertrouwt. We raden deze optie aan om vertrouwen in een privé-PKI aan Firefox toe te voegen. Het is gelijkwaardig aan het instellen van de voorkeur {pref security.enterprise_roots.enabled}, zoals beschreven in de sectie [[#w_de-ingebouwde-ondersteuning-voor-windows-macos-en-android-gebruiken-aanbevolen|De ingebouwde ondersteuning voor Windows, macOS en Android gebruiken (aanbevolen)]] hierboven. *De sleutel ''Install'' zoekt standaard naar certificaten in de onderstaande locaties. U kunt een volledige gekwalificeerd pad opgeven (zie de voorbeelden die [https://mozilla.github.io/policy-templates/#certificates hier] worden opgesomd). Als Firefox niets vindt in uw volledig gekwalificeerde pad, doorzoekt het de standaardmappen: **Windows ***%USERPROFILE%\AppData\Local\Mozilla\Certificates ***%USERPROFILE%\AppData\Roaming\Mozilla\Certificates **macOS ***/Library/Application Support/Mozilla/Certificates ***~/Library/Application Support/Mozilla/Certificates **Linux ***/usr/lib/mozilla/certificates ***/usr/lib64/mozilla/certificates =Linux= ==p11-kit-trust<!-- -->.so gebruiken in Linux== Certificaten kunnen programmatisch worden geïmporteerd door p11-kit-trust<!-- -->.so te gebruiken vanuit ''p11-kit'' (merk op dat sommige distributies, zoals op Red Hat gebaseerde exemplaren, dit al standaard doen door ''p11-kit-trust<!-- -->.so'' te leveren als ''libnsscbki<!-- -->.so''). Dit kan worden gedaan door het beleid [https://mozilla.github.io/policy-templates/#securitydevices beleid SecurityDevices] in te stellen in '''/etc/firefox/policies/policies.json''' en een entry toe te voegen die verwijst naar de locatie van de ''p11-kit-trust<!-- -->.so'' in het systeem, door deze handmatig toe te voegen via de ‘Beveiligingsapparaten’beheerder in Voorkeuren, of door modutil te gebruiken. ==De certificaatdatabases vooraf laden (alleen voor nieuwe profielen)== Sommige gebruikers [[Profile Manager - Create, remove or switch Firefox profiles|maken een nieuw profiel aan in Firefox]], installeren de gewenste certificaten handmatig en distribueren vervolgens met deze methode de diverse db-bestanden (''cert9.db'', ''key4.db'' en ''secmod.db'') naar nieuwe profielen. Deze benadering wordt niet aanbevolen en werkt alleen voor nieuwe profielen. ==Certutil== U kunt certutil gebruiken om de Firefox-certificaatdatabases vanaf de opdrachtregel bij te werken. Kijk op de [https://docs.microsoft.com/windows-server/administration/windows-commands/certutil Microsoft-ondersteuningswebsite] voor meer informatie.