[[Template:Enterprise]] Wenn Ihr Unternehmen private Zertifizierungsstellen (CAs) verwendet, um Zertifikate für Ihre internen Server auszustellen, zeigen Browser wie Firefox möglicherweise Fehler an, wenn Sie sie nicht so konfigurieren, dass sie diese privaten Zertifikate erkennen. Das sollten Sie frühzeitig tun, damit Ihre Benutzer keine Probleme beim Zugriff auf Websites haben. Sie können diese CA-Zertifikate mit einer der folgenden Methoden hinzufügen. =Verwendung von Richtlinien zum Importieren von CA-Zertifikaten (empfohlen)= Ab Firefox Version 64 kann eine [[Customizing Firefox Using Group Policy (Windows)|Unternehmensrichtlinie]] verwendet werden, um CA-Zertifikate zu Firefox hinzuzufügen. *Wenn Sie den Schlüssel ''ImportEnterpriseRoots'' auf '''true''' setzen, vertraut Firefox den Stammzertifikaten. Wir empfehlen diese Option, um Firefox Vertrauen für eine private PKI hinzuzufügen. Sie ist gleichbedeutend mit der Einstellung '''"security.enterprise_roots.enabled"''', wie im Abschnitt "Integrierte Unterstützung für Windows und MacOS" weiter unten beschrieben. *Der ''Installieren''-Schlüssel sucht standardmäßig an den unten aufgeführten Orten nach Zertifikaten. Ab Firefox 65 können Sie einen vollständig qualifizierten Pfad angeben (siehe cert3.der und cert4.pem in [https://github.com/mozilla/policy-templates/blob/master/README.md#Certificates dieses Beispiel] ). Wenn Firefox unter Ihrem vollständig qualifizierten Pfad nichts findet, durchsucht er die Standardverzeichnisse: **Windows ***%BENUTZERPROFIL%\AppData\Local\Mozilla\Zertifikate ***%BENUTZERPROFIL%\AppData\Roaming\Mozilla\Zertifikate **MacOS ***/Library/Application Support/Mozilla/Certificates ***~/Library/Anwendungsunterstützung/Mozilla/Zertifikate **Linux ***/usr/lib/mozilla/zertifikate ***/usr/lib64/mozilla/zertifikate =Verwendung der integrierten Windows- und MacOS-Unterstützung= Wenn Sie die Einstellung '''"security.enterprise_roots.enabled"''' in about:config auf true setzen, wird die Unterstützung für Windows und MacOS Enterprise Roots aktiviert. ==Windows Enterprise-Unterstützung== Ab Version 49 kann Firefox so konfiguriert werden, dass er automatisch nach CAs sucht und die importiert, die von einem Benutzer oder Administrator zum Windows-Zertifikatspeicher hinzugefügt wurden. #Geben Sie "about:config" in die Adressleiste ein und gehen Sie zur Liste der Einstellungen. #Setzen Sie die Präferenz '''"security.enterprise_roots.enabled"''' auf '''true'''. #Starten Sie Firefox neu. Firefox durchsucht den Registrierungspfad HKLM\SOFTWARE\Microsoft\SystemCertificates (entsprechend dem API-Flag CERT_SYSTEM_STORE_LOCAL_MACHINE) nach Zertifizierungsstellen, denen bei der Ausstellung von Zertifikaten für die TLS-Webserver-Authentifizierung vertraut wird. Solche Zertifizierungsstellen werden von Firefox importiert und als vertrauenswürdig eingestuft, auch wenn sie möglicherweise nicht im Zertifikatsmanager von Firefox angezeigt werden. Die Verwaltung dieser CAs sollte mit den integrierten Windows-Tools oder anderen Dienstprogrammen von Drittanbietern erfolgen. '''Firefox Version 52: ''' Firefox durchsucht auch die Registry-Speicherorte HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates und HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (entsprechend den API-Flags CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY und CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE). {'''Hinweis:''' Diese Einstellung importiert nur Zertifikate aus dem Windows-Speicher für vertrauenswürdige Stammzertifizierungsstellen, nicht aus dem entsprechenden Speicher für zwischengeschaltete Zertifizierungsstellen. Siehe Bug 1473573. Wenn Sie auch nach Aktivierung dieser Funktion die Fehlermeldung "Unbekannter Aussteller" erhalten, versuchen Sie, Ihren TLS-Server so zu konfigurieren, dass er die erforderlichen Zwischenzertifikate in den TLS-Handshake einbezieht.{/note} ==MacOS Enterprise Unterstützung== Ab Firefox 63 funktioniert diese Funktion auch für MacOS, indem die im MacOS-System-Schlüsselbund gefundenen Wurzeln importiert werden. =Linux= ==Verwendung von p11-kit-trust.so unter Linux== Zertifikate können programmatisch importiert werden, indem Sie p11-kit-trust.so aus p11-kit verwenden (beachten Sie, dass einige Distributionen, wie z.B. die auf Red Hat basierenden, dies bereits standardmäßig tun, indem sie p11-kit-trust.so als libnsscbki.so ausliefern). Sie können dies tun, indem Sie die [https://github.com/mozilla/policy-templates#securitydevices SecurityDevices policy] in '''/etc/firefox/policies/policies.json''' einstellen und einen Eintrag hinzufügen, der auf den Speicherort von p11-kit-trust.so im System verweist, indem Sie es manuell über den Manager "Security Devices" in den Einstellungen hinzufügen oder indem Sie das Dienstprogramm modutil verwenden. ==Vorladen der Zertifikatsdatenbanken (nur bei neuen Profilen)== Manche Benutzer erstellen ein neues Profil in Firefox, installieren die benötigten Zertifikate manuell und verteilen dann die verschiedenen db-Dateien (cert9.db, key4.db und secmod.db) mit dieser Methode in neue Profile. Dies ist nicht die empfohlene Vorgehensweise, und diese Methode funktioniert nur bei neuen Profilen. ==Certutil== Sie können certutil verwenden, um die Firefox-Zertifikatsdatenbanken über die Befehlszeile zu aktualisieren. Weitere Informationen finden Sie auf der [https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certutil Microsoft Support-Site].

Die Vorlage „Enterprise“ existiert nicht oder es ist noch keine freigeschaltete Version verfügbar.

Wenn Ihr Unternehmen private Zertifizierungsstellen (CAs) verwendet, um Zertifikate für Ihre internen Server auszustellen, zeigen Browser wie Firefox möglicherweise Fehler an, wenn Sie sie nicht so konfigurieren, dass sie diese privaten Zertifikate erkennen. Das sollten Sie frühzeitig tun, damit Ihre Benutzer keine Probleme beim Zugriff auf Websites haben.

Sie können diese CA-Zertifikate mit einer der folgenden Methoden hinzufügen.

Verwendung von Richtlinien zum Importieren von CA-Zertifikaten (empfohlen)

Ab Firefox Version 64 kann eine Unternehmensrichtlinie verwendet werden, um CA-Zertifikate zu Firefox hinzuzufügen.

• Wenn Sie den Schlüssel ImportEnterpriseRoots auf true setzen, vertraut Firefox den Stammzertifikaten. Wir empfehlen diese Option, um Firefox Vertrauen für eine private PKI hinzuzufügen. Sie ist gleichbedeutend mit der Einstellung "security.enterprise_roots.enabled", wie im Abschnitt "Integrierte Unterstützung für Windows und MacOS" weiter unten beschrieben.

• Der Installieren-Schlüssel sucht standardmäßig an den unten aufgeführten Orten nach Zertifikaten. Ab Firefox 65 können Sie einen vollständig qualifizierten Pfad angeben (siehe cert3.der und cert4.pem in dieses Beispiel ). Wenn Firefox unter Ihrem vollständig qualifizierten Pfad nichts findet, durchsucht er die Standardverzeichnisse:
  • Windows
    • %BENUTZERPROFIL%\AppData\Local\Mozilla\Zertifikate
    • %BENUTZERPROFIL%\AppData\Roaming\Mozilla\Zertifikate
  • MacOS
    • /Library/Application Support/Mozilla/Certificates
    • ~/Library/Anwendungsunterstützung/Mozilla/Zertifikate
  • Linux
    • /usr/lib/mozilla/zertifikate
    • /usr/lib64/mozilla/zertifikate

Verwendung der integrierten Windows- und MacOS-Unterstützung

Wenn Sie die Einstellung "security.enterprise_roots.enabled" in about:config auf true setzen, wird die Unterstützung für Windows und MacOS Enterprise Roots aktiviert.

Windows Enterprise-Unterstützung

Ab Version 49 kann Firefox so konfiguriert werden, dass er automatisch nach CAs sucht und die importiert, die von einem Benutzer oder Administrator zum Windows-Zertifikatspeicher hinzugefügt wurden.

1. Geben Sie "about:config" in die Adressleiste ein und gehen Sie zur Liste der Einstellungen.
2. Setzen Sie die Präferenz "security.enterprise_roots.enabled" auf true.
3. Starten Sie Firefox neu.

Firefox durchsucht den Registrierungspfad HKLM\SOFTWARE\Microsoft\SystemCertificates (entsprechend dem API-Flag CERT_SYSTEM_STORE_LOCAL_MACHINE) nach Zertifizierungsstellen, denen bei der Ausstellung von Zertifikaten für die TLS-Webserver-Authentifizierung vertraut wird. Solche Zertifizierungsstellen werden von Firefox importiert und als vertrauenswürdig eingestuft, auch wenn sie möglicherweise nicht im Zertifikatsmanager von Firefox angezeigt werden. Die Verwaltung dieser CAs sollte mit den integrierten Windows-Tools oder anderen Dienstprogrammen von Drittanbietern erfolgen.

Firefox Version 52: Firefox durchsucht auch die Registry-Speicherorte HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates und HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (entsprechend den API-Flags CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY und CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE).

{Hinweis: Diese Einstellung importiert nur Zertifikate aus dem Windows-Speicher für vertrauenswürdige Stammzertifizierungsstellen, nicht aus dem entsprechenden Speicher für zwischengeschaltete Zertifizierungsstellen. Siehe Bug 1473573. Wenn Sie auch nach Aktivierung dieser Funktion die Fehlermeldung "Unbekannter Aussteller" erhalten, versuchen Sie, Ihren TLS-Server so zu konfigurieren, dass er die erforderlichen Zwischenzertifikate in den TLS-Handshake einbezieht.</div>

MacOS Enterprise Unterstützung

Ab Firefox 63 funktioniert diese Funktion auch für MacOS, indem die im MacOS-System-Schlüsselbund gefundenen Wurzeln importiert werden.

Linux

Verwendung von p11-kit-trust.so unter Linux

Zertifikate können programmatisch importiert werden, indem Sie p11-kit-trust.so aus p11-kit verwenden (beachten Sie, dass einige Distributionen, wie z.B. die auf Red Hat basierenden, dies bereits standardmäßig tun, indem sie p11-kit-trust.so als libnsscbki.so ausliefern).

Sie können dies tun, indem Sie die SecurityDevices policy in /etc/firefox/policies/policies.json einstellen und einen Eintrag hinzufügen, der auf den Speicherort von p11-kit-trust.so im System verweist, indem Sie es manuell über den Manager "Security Devices" in den Einstellungen hinzufügen oder indem Sie das Dienstprogramm modutil verwenden.

Vorladen der Zertifikatsdatenbanken (nur bei neuen Profilen)

Manche Benutzer erstellen ein neues Profil in Firefox, installieren die benötigten Zertifikate manuell und verteilen dann die verschiedenen db-Dateien (cert9.db, key4.db und secmod.db) mit dieser Methode in neue Profile. Dies ist nicht die empfohlene Vorgehensweise, und diese Methode funktioniert nur bei neuen Profilen.

Certutil

Sie können certutil verwenden, um die Firefox-Zertifikatsdatenbanken über die Befehlszeile zu aktualisieren. Weitere Informationen finden Sie auf der Microsoft Support-Site.