Certificaatautoriteiten (CA’s) instellen in Firefox

De sjabloon ‘Enterprise’ bestaat niet of heeft geen goedgekeurde revisie.

Als uw organisatie private certificaatautoriteiten (CA’s) gebruikt om certificaten voor uw interne servers uit te geven, kunnen browsers zoals Firefox foutmeldingen tonen, tenzij u ze configureert om deze private certificaten te herkennen. Dit moet vroeg in het proces gebeuren, zodat uw gebruikers geen problemen hebben met het bezoeken van websites.

U kunt deze CA-certificaten toevoegen met een van de volgende methoden.

Beleid gebruiken om CA-certificaten te importeren (aanbevolen)

Vanaf Firefox versie 64 kan een ondernemingsbeleid worden gebruikt om CA-certificaten toe te voegen aan Firefox.

  • Door de sleutel ImportEnterpriseRoots in te stellen op true vertrouwt Firefox rootcertificaten. We bevelen deze optie aan om vertrouwen in een private PKI toe te voegen aan Firefox. Dit is equivalent aan het instellen van de voorkeur security.enterprise_roots.enabled, zoals beschreven in de onderstaande sectie Ingebouwde ondersteuning in Windows en macOS.
  • De toets Installeren zoekt standaard in de onderstaande locaties naar certificaten. Vanaf Firefox 65 kunt u een volledig gekwalificeerd pad opgeven (zie cert3.der en cert4.pem in dit voorbeeld). Als Firefox niets in uw volledig gekwalificeerde pad vindt, doorzoekt het de standaardmappen:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Ingebouwde ondersteuning in Windows en macOS gebruiken

Het instellen van de voorkeur security.enterprise_roots.enabled als true op de pagina about:config schakelt de rootondersteuning in Windows en macOS Enterprise in.

Ondersteuning in Windows Enterprise

Vanaf versie 49 kan Firefox worden geconfigureerd om automatisch te zoeken naar CA’s die zijn toegevoegd aan de certificaat-store in Windows door een gebruiker of een administrator en deze te importeren.

  1. Typ about:config in de adresbalk en druk op EnterReturn.
    Er kan een waarschuwingspagina verschijnen. Klik op Het risico aanvaarden en doorgaan om naar de pagina about:config te gaan.
  2. Zoek naar de voorkeur security.enterprise_roots.enabled.
  3. Klik op de schakelaar Fx71aboutconfig-ToggleButton naast deze voorkeur om de waarde naar true te zetten.
  4. Herstart Firefox.

Firefox inspecteert de registerlocatie HKLM\SOFTWARE\Microsoft\SystemCertificates (overeenkomend met het API-label CERT_SYSTEM_STORE_LOCAL_MACHINE) op CA’s die worden vertrouwd om certificaten uit te geven voor TLS-webserverauthenticatie. Dergelijke CA’s worden geïmporteerd en vertrouwd door Firefox, hoewel ze mogelijk niet worden getoond in de certificaatbeheerder van Firefox. Het beheer van deze CA’s dient te gebeuren met de ingebouwde Windows-hulpmiddelen of andere middelen van derden.

Firefox versie 52: Firefox doorzoekt ook de registerlocaties HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates en HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (overeenkomend met de respectievelijke API-labels CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY en CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE).

Noot: deze instelling importeert alleen certificaten vanuit de Windows Trusted Root Certification Authorities-store, en niet vanuit de overeenkomende Intermediate Certification Authorities-store. Zie bug 1473573. Als u foutmeldingen unknown issuer ontvangt, zelfs nadat u deze functie hebt ingeschakeld, probeer dan uw TLS-server zo te configureren om de benodigde tussentijdse certificaten in de TLS-handshake op te nemen.

Ondersteuning in macOS Enterprise

Vanaf Firefox 63 werkt deze functie ook voor MacOS door roots te importeren die worden gevonden in de macOS-systeemkeychain.

Linux

p11-kit-trust.so gebruiken in Linux

Certificaten kunnen programmatisch worden geïmporteerd door p11-kit-trust.so te gebruiken vanuit p11-kit (merk op dat sommige distributies, zoals op Red Hat gebaseerde exemplaren, dit al standaard doen door p11-kit-trust.so te leveren als libnsscbki.so).

Dit kan worden gedaan door het beleid SecurityDevices in te stellen in /etc/firefox/policies/policies.json en een entry toe te voegen die verwijst naar de locatie van p11-kit-trust.so in het systeem, door deze handmatig toe te voegen via de ‘Beveiligingsapparaten’beheerder in Voorkeuren, of door modutil te gebruiken.

De certificaatdatabases vooraf laden (alleen voor nieuwe profielen)

Sommige mensen maken een nieuw profiel aan in Firefox, installeren de gewenste certificaten handmatig en distribueren vervolgens met deze methode de diverse db-bestanden (cert9.db, key4.db en secmod.db) naar nieuwe profielen. Deze benadering wordt niet aanbevolen en werkt alleen voor nieuwe profielen.

Certutil

U kunt certutil gebruiken om de Firefox-certificaatdatabases vanaf de opdrachtregel bij te werken. Kijk op de Microsoft-ondersteuningswebsite voor meer informatie.

Was dit artikel nuttig?

Een moment geduld…

Deze aardige mensen hebben geholpen bij het schrijven van dit artikel:

Mark Heijl
Illustration of hands

Vrijwilliger worden

Laat uw expertise groeien en deel deze met anderen. Beantwoord vragen en verbeter onze kennisbank.

Meer info