Porovnání revizí
Zertifizierungsstellen in Firefox einrichten
Revize 259415:
Revize 259415 od uživatele Artist z data
Revize 259416:
Revize 259416 od uživatele Artist z data
Klíčová slova:
Souhrn výsledků vyhledávání:
Der Artikel beschreibt, wie Sie Zertifizierungsstellen in Firefox für Unternehmen einrichten.
Der Artikel beschreibt, wie Sie Zertifizierungsstellen in Firefox für Unternehmen einrichten.
Obsah:
[[Template:Enterprise]]
Wenn Ihr Unternehmen oder Ihre Organisation private Zertifizierungsstellen (engl. „Certificate Authorities“ oder kurz „CA“ genannt) verwendet, um Zertifikate für Ihre internen Server auszustellen, zeigen Browser wie Firefox möglicherweise Fehlermeldungen an, es sei denn, Sie konfigurieren sie so, dass sie diese privaten Zertifikate erkennen. Dies sollte so früh wie möglich erfolgen, damit Ihre Nutzer keine Probleme beim Zugriff auf Websites haben.
Sie können diese CA-Zertifikate mit einer der folgenden Methoden hinzufügen.
=Verwendung von Richtlinien zum Importieren von CA-Zertifikaten (empfohlen)=
Ab [[Wie Sie herausfinden, welche Firefox-Version Sie verwenden|Firefox-Version]] 64 können Sie [[Customizing Firefox Using Group Policy (Windows)|Unternehmensrichtlinien]] verwenden, um CA-Zertifikate zu Firefox hinzuzufügen.
*Indem Sie den Schlüssel „ImportEnterpriseRoots“ auf {pref '''true'''} setzen, vertraut Firefox den Stammzertifikaten. Wir empfehlen diese Option, um eine private [https://de.wikipedia.org/wiki/Public-Key-Infrastruktur PKI] in Firefox als vertrauenswürdig festzulegen. Dies entspricht der Einstellung {pref security.enterprise_roots.enabled}, wie unten im Abschnitt „Verwendung der integrierten Unterstützung in Windows und macOS“ beschrieben.
*Standardmäßig sucht der Installationsschlüssel in den nachstehend aufgeführten Speicherorten nach Zertifikaten. Ab [[Wie Sie herausfinden, welche Firefox-Version Sie verwenden|Firefox-Version]] 65 können Sie selbst einen vollständig qualifizierten Pfad zu den Zertifikaten angeben (siehe ''cert3.der'' und ''cert4.pem'' in [https://github.com/mozilla/policy-templates/blob/master/README.md#Certificates diesem Beispiel]). Wenn Firefox unter Ihrem vollständig qualifizierten Pfad nichts findet, durchsucht er die Standardverzeichnisse:
**'''Windows'''
***%BENUTZERPROFIL%\AppData\Local\Mozilla\Certificates
***%BENUTZERPROFIL%\AppData\Roaming\Mozilla\Certificates
**'''macOS'''
***/Library/Application Support/Mozilla/Certificates
***~/Library/Application Support/Mozilla/Certificates
**'''Linux'''
***/usr/lib/mozilla/certificates
***/usr/lib64/mozilla/certificates
=Verwendung der integrierten Unterstützung in Windows und macOS=
Wenn Sie im Konfigurationseditor '''about:config''' die Einstellung „security.enterprise_roots.enabled“ auf {pref '''true'''} setzen, wird die Enterprise-Root-Unterstützung unter Windows und macOS aktiviert.
==Unterstützung in Windows Enterprise==
Ab [[Wie Sie herausfinden, welche Firefox-Version Sie verwenden|Firefox-Version]] 49 können Sie Firefox so konfigurieren, dass er automatisch nach CAs sucht und solche importiert, die von einem Nutzer oder Administrator zum Windows-Zertifikatspeicher hinzugefügt wurden.
#Tippen Sie '''about:config''' in die Adressleiste und drücken Sie die {key Eingabetaste}. Eine Seite mit einem Warnhinweis öffnet sich. Klicken Sie auf {button Risiko akzeptieren und fortfahren}, um den Konfigurationseditor für die Einstellungen (die Seite about:config) zu öffnen.
#Tippen Sie '''security.enterprise_roots.enabled''' in das Feld ''Einstellungsname suchen'' und setzen Sie dann in der Einstellung den Wert auf {pref '''true'''}.
#Starten Sie danach Firefox neu, damit die Änderung wirksam wird.
Firefox sucht im Registry-Speicherort ''HKLM\SOFTWARE\Microsoft\SystemCertificates'' (entspricht dem API-Flag ''CERT_SYSTEM_STORE_LOCAL_MACHINE'') nach Zertifizierungsstellen, denen es vertraut, um Zertifikate für die TLS-Authentifizierung von Webservern auszustellen. Alle dort gefundenen Zertifizierungsstellen werden importiert und von Firefox als vertrauenswürdig eingestuft, obwohl sie möglicherweise nicht in der Zertifikatsverwaltung von Firefox angezeigt werden. Die Verwaltung dieser Zertifizierungsstellen muss mit integrierten Windows-Tools oder anderen Dienstprogrammen von Drittanbietern erfolgen.
'''Firefox-Version 52:''' Firefox sucht auch in den Registry-Speicherorten ''HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates'' und ''HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates'' (diese entsprechen den API-Flags CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY bzw. CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE).
{note}'''Hinweis:''' Diese Einstellung importiert nur Zertifikate aus dem Speicher der vertrauenswürdigen Stammzertifizierungsstellen von Windows und nicht aus dem Speicher der entsprechenden Zwischenzertifizierungsstellen (siehe [https://bugzilla.mozilla.org/show_bug.cgi?id=1473573 Bug 1473573]). Wenn Sie auch nach Aktivierung dieser Funktion die Fehlermeldungen vom Typ [[Was bedeutet „Diese Verbindung ist nicht sicher“?#w_sec-error-unknown-issuer|SEC_ERROR_UNKNOWN_ISSUER]] („Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist“) erhalten, versuchen Sie, Ihren TLS-Server so zu konfigurieren, dass die erforderlichen Zwischenzertifikate in den TLS-Handshake eingeschlossen werden.{/note}
==Unterstützung in macOS Enterprise==
Ab [[Wie Sie herausfinden, welche Firefox-Version Sie verwenden|Firefox-Version]] 63 funktioniert dies auch für macOS, indem die im Schlüsselbund des macOS-Systems gefundenen Roots importiert werden.
=Linux=
==Verwendung von p11-kit-trust.so unter Linux==
Zertifikate können programmgesteuert importiert werden, indem p11-kit-trust.so aus p11-kit verwendet wird. Bitte beachten Sie, dass einige Distributionen (z. B. auf Red Hat-basierte) dies bereits standardmäßig tun, wenn p11-kit-trust.so als libnsscbki.so verteilt wird.
Dies kann manuell über den „Sicherheitsgeräte“-Manager in den Einstellungen hinzugefügt werden, indem Sie die Richtlinie [https://github.com/mozilla/policy-templates#securitydevices „SecurityDevices“] in '''/etc/firefox/policies/policies.json''' festlegen und einen Eintrag hinzufügen, der auf den Speicherort von p11-kit-trust.so im System verweist, oder indem Sie das Dienstprogramm ''modutil'' verwenden.
==Vorladen der Zertifikatsdatenbanken (nur für neue Profile)==
Manche Nutzer erstellen ein neues Profil in Firefox, installieren die benötigten Zertifikate manuell und verteilen dann die verschiedenen db-Dateien (cert9.db, key4.db und secmod.db) auf diese Weise an die neuen Profile. Dieses Vorgehen wird nicht empfohlen und die Methode funktioniert nur für neue Profile.
==Certutil==
Sie können die Firefox-Zertifikatsdatenbanken über die Befehlszeile mit '''certutil''' aktualisieren. Weitere Informationen erhalten Sie in [https://docs.microsoft.com/windows-server/administration/windows-commands/certutil dieser Microsoft-Dokumentation].
[[Template:Enterprise]]
Wenn Ihr Unternehmen oder Ihre Organisation private Zertifizierungsstellen (engl. „Certificate Authorities“ oder kurz „CA“ genannt) verwendet, um Zertifikate für Ihre internen Server auszustellen, zeigen Browser wie Firefox möglicherweise Fehlermeldungen an, es sei denn, Sie konfigurieren sie so, dass sie diese privaten Zertifikate erkennen. Dies sollte so früh wie möglich erfolgen, damit Ihre Nutzer keine Probleme beim Zugriff auf Websites haben.
Sie können diese CA-Zertifikate mit einer der folgenden Methoden hinzufügen.
=Verwendung von Richtlinien zum Importieren von CA-Zertifikaten (empfohlen)=
Ab [[Wie Sie herausfinden, welche Firefox-Version Sie verwenden|Firefox-Version]] 64 können Sie [[Customizing Firefox Using Group Policy (Windows)|Unternehmensrichtlinien]] verwenden, um CA-Zertifikate zu Firefox hinzuzufügen.
*Indem Sie den Schlüssel „ImportEnterpriseRoots“ auf {pref '''true'''} setzen, vertraut Firefox den Stammzertifikaten. Wir empfehlen diese Option, um eine private [https://de.wikipedia.org/wiki/Public-Key-Infrastruktur PKI] in Firefox als vertrauenswürdig festzulegen. Dies entspricht der Einstellung {pref security.enterprise_roots.enabled}, wie unten im Abschnitt „Verwendung der integrierten Unterstützung in Windows und macOS“ beschrieben.
*Standardmäßig sucht der Installationsschlüssel in den nachstehend aufgeführten Speicherorten nach Zertifikaten. Ab [[Wie Sie herausfinden, welche Firefox-Version Sie verwenden|Firefox-Version]] 65 können Sie selbst einen vollständig qualifizierten Pfad zu den Zertifikaten angeben (siehe ''cert3.der'' und ''cert4.pem'' in [https://github.com/mozilla/policy-templates/blob/master/README.md#Certificates diesem Beispiel]). Wenn Firefox unter Ihrem vollständig qualifizierten Pfad nichts findet, durchsucht er die Standardverzeichnisse:
**'''Windows'''
***%BENUTZERPROFIL%\AppData\Local\Mozilla\Certificates
***%BENUTZERPROFIL%\AppData\Roaming\Mozilla\Certificates
**'''macOS'''
***/Library/Application Support/Mozilla/Certificates
***~/Library/Application Support/Mozilla/Certificates
**'''Linux'''
***/usr/lib/mozilla/certificates
***/usr/lib64/mozilla/certificates
=Verwendung der integrierten Unterstützung in Windows und macOS=
Wenn Sie im Konfigurationseditor '''about:config''' die Einstellung {pref security.enterprise_roots.enabled} auf {pref '''true'''} setzen, wird die Enterprise-Root-Unterstützung unter Windows und macOS aktiviert.
==Unterstützung in Windows Enterprise==
Ab [[Wie Sie herausfinden, welche Firefox-Version Sie verwenden|Firefox-Version]] 49 können Sie Firefox so konfigurieren, dass er automatisch nach CAs sucht und solche importiert, die von einem Nutzer oder Administrator zum Windows-Zertifikatspeicher hinzugefügt wurden.
#Tippen Sie '''about:config''' in die Adressleiste und drücken Sie die {key Eingabetaste}. Eine Seite mit einem Warnhinweis öffnet sich. Klicken Sie auf {button Risiko akzeptieren und fortfahren}, um den Konfigurationseditor für die Einstellungen (die Seite about:config) zu öffnen.
#Tippen Sie '''security.enterprise_roots.enabled''' in das Feld ''Einstellungsname suchen'' und setzen Sie dann in der Einstellung {pref security.enterprise_roots.enabled} den Wert auf {pref '''true'''}.
#Starten Sie danach Firefox neu, damit die Änderung wirksam wird.
Firefox sucht im Registry-Speicherort ''HKLM\SOFTWARE\Microsoft\SystemCertificates'' (entspricht dem API-Flag ''CERT_SYSTEM_STORE_LOCAL_MACHINE'') nach Zertifizierungsstellen, denen es vertraut, um Zertifikate für die TLS-Authentifizierung von Webservern auszustellen. Alle dort gefundenen Zertifizierungsstellen werden importiert und von Firefox als vertrauenswürdig eingestuft, obwohl sie möglicherweise nicht in der Zertifikatsverwaltung von Firefox angezeigt werden. Die Verwaltung dieser Zertifizierungsstellen muss mit integrierten Windows-Tools oder anderen Dienstprogrammen von Drittanbietern erfolgen.
'''Firefox-Version 52:''' Firefox sucht auch in den Registry-Speicherorten ''HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates'' und ''HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates'' (diese entsprechen den API-Flags ''CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY'' bzw. ''CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE'').
{note}'''Hinweis:''' Diese Einstellung importiert nur Zertifikate aus dem Speicher der vertrauenswürdigen Stammzertifizierungsstellen von Windows und nicht aus dem Speicher der entsprechenden Zwischenzertifizierungsstellen (siehe [https://bugzilla.mozilla.org/show_bug.cgi?id=1473573 Bug 1473573]). Wenn Sie auch nach Aktivierung dieser Funktion die Fehlermeldungen vom Typ [[Was bedeutet „Diese Verbindung ist nicht sicher“?#w_sec-error-unknown-issuer|SEC_ERROR_UNKNOWN_ISSUER]] („Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist“) erhalten, versuchen Sie, Ihren TLS-Server so zu konfigurieren, dass die erforderlichen Zwischenzertifikate in den TLS-Handshake eingeschlossen werden.{/note}
==Unterstützung in macOS Enterprise==
Ab [[Wie Sie herausfinden, welche Firefox-Version Sie verwenden|Firefox-Version]] 63 funktioniert dies auch für macOS, indem die im Schlüsselbund des macOS-Systems gefundenen Roots importiert werden.
=Linux=
==Verwendung von p11-kit-trust<!-- -->.so unter Linux==
Zertifikate können programmgesteuert importiert werden, indem ''p11-kit-trust<!-- -->.so'' aus ''p11-kit'' verwendet wird. Bitte beachten Sie, dass einige Distributionen (z. B. auf Red Hat-basierte) dies bereits standardmäßig tun, wenn ''p11-kit-trust<!-- -->.so'' als ''libnsscbki<!-- -->.so'' verteilt wird.
Dies kann manuell über den „Sicherheitsgeräte“-Manager in den Einstellungen hinzugefügt werden, indem Sie die Richtlinie [https://github.com/mozilla/policy-templates#securitydevices „SecurityDevices“] in '''/etc/firefox/policies/policies.json''' festlegen und einen Eintrag hinzufügen, der auf den Speicherort von ''p11-kit-trust<!-- -->.so'' im System verweist, oder indem Sie das Dienstprogramm ''modutil'' verwenden.
==Vorladen der Zertifikatsdatenbanken (nur für neue Profile)==
Manche Nutzer erstellen ein neues Profil in Firefox, installieren die benötigten Zertifikate manuell und verteilen dann die verschiedenen db-Dateien (cert9.db, key4.db und secmod.db) auf diese Weise an die neuen Profile. Dieses Vorgehen wird nicht empfohlen und die Methode funktioniert nur für neue Profile.
==Certutil==
Sie können die Firefox-Zertifikatsdatenbanken über die Befehlszeile mit '''certutil''' aktualisieren. Weitere Informationen erhalten Sie in [https://docs.microsoft.com/windows-server/administration/windows-commands/certutil dieser Microsoft-Dokumentation].