Compare Revisions

firefox voor ondernemingen, certificaatautoriteiten, CAs

Lees hoe u certificaatautoriteiten instelt in Firefox voor Ondernemingen.

[[Template:Enterprise]] Als uw organisatie private certificaatautoriteiten (CA’s) gebruikt om certificaten voor uw interne servers uit te geven, kunnen browsers zoals Firefox foutmeldingen tonen, tenzij u ze configureert om deze private certificaten te herkennen. Dit moet vroeg in het proces gebeuren, zodat uw gebruikers geen problemen hebben met het bezoeken van websites. U kunt deze CA-certificaten toevoegen met een van de volgende methoden. =Beleid gebruiken om CA-certificaten te importeren (aanbevolen)= Vanaf [[Find what version of Firefox you are using|Firefox versie]] 64 kan een [[Customizing Firefox Using Group Policy (Windows)|ondernemingsbeleid]] worden gebruikt om CA-certificaten toe te voegen aan Firefox. *Door de sleutel ''ImportEnterpriseRoots'' in te stellen op '''true''' vertrouwt Firefox rootcertificaten. We bevelen deze optie aan om vertrouwen in een private PKI toe te voegen aan Firefox. Dit is equivalent aan het instellen van de voorkeur {pref security.enterprise_roots.enabled}, zoals beschreven in de onderstaande sectie Ingebouwde ondersteuning in Windows en macOS. *De toets ''Installeren'' zoekt standaard in de onderstaande locaties naar certificaten. Vanaf Firefox 65 kunt u een volledig gekwalificeerd pad opgeven (zie ''cert3.der'' en ''cert4.pem'' in [https://github.com/mozilla/policy-templates/blob/master/README.md#Certificates dit voorbeeld]). Als Firefox niets in uw volledig gekwalificeerde pad vindt, doorzoekt het de standaardmappen: **Windows ***%USERPROFILE%\AppData\Local\Mozilla\Certificates ***%USERPROFILE%\AppData\Roaming\Mozilla\Certificates **macOS ***/Library/Application Support/Mozilla/Certificates ***~/Library/Application Support/Mozilla/Certificates **Linux ***/usr/lib/mozilla/certificates ***/usr/lib64/mozilla/certificates =Ingebouwde ondersteuning in Windows en macOS gebruiken= Het instellen van de voorkeur {pref security.enterprise_roots.enabled} als {pref true} op de pagina ''about:config'' schakelt de rootondersteuning in Windows en macOS Enterprise in. ==Ondersteuning in Windows Enterprise== Vanaf versie 49 kan Firefox worden geconfigureerd om automatisch te zoeken naar CA’s die zijn toegevoegd aan de certificaat-store in Windows door een gebruiker of een administrator en deze te importeren. #[[Template:aboutconfig]] #Zoek naar de voorkeur {pref security.enterprise_roots.enabled}. #Klik op de schakelaar [[Image:Fx71aboutconfig-ToggleButton]] naast deze voorkeur om de waarde naar {pref true} te zetten. #Herstart Firefox. Firefox inspecteert de registerlocatie ''HKLM\SOFTWARE\Microsoft\SystemCertificates'' (overeenkomend met het API-label ''CERT_SYSTEM_STORE_LOCAL_MACHINE'') op CA’s die worden vertrouwd om certificaten uit te geven voor TLS-webserverauthenticatie. Dergelijke CA’s worden geïmporteerd en vertrouwd door Firefox, hoewel ze mogelijk niet worden getoond in de certificaatbeheerder van Firefox. Het beheer van deze CA’s dient te gebeuren met de ingebouwde Windows-hulpmiddelen of andere middelen van derden. '''Firefox versie 52:''' Firefox doorzoekt ook de registerlocaties ''HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates'' en ''HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates'' (overeenkomend met de respectievelijke API-labels ''CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY'' en ''CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE''). {note}'''Noot:''' deze instelling importeert alleen certificaten vanuit de Windows Trusted Root Certification Authorities-store, en niet vanuit de overeenkomende Intermediate Certification Authorities-store. Zie [https://bugzilla.mozilla.org/show_bug.cgi?id=1473573 bug 1473573]. Als u foutmeldingen ''unknown issuer'' ontvangt, zelfs nadat u deze functie hebt ingeschakeld, probeer dan uw TLS-server zo te configureren om de benodigde tussentijdse certificaten in de TLS-handshake op te nemen.{/note} ==Ondersteuning in macOS Enterprise== Vanaf Firefox 63 werkt deze functie ook voor MacOS door roots te importeren die worden gevonden in de macOS-systeemkeychain. =Linux= ==p11-kit-trust<!-- -->.so gebruiken in Linux== Certificaten kunnen programmatisch worden geïmporteerd door p11-kit-trust<!-- -->.so te gebruiken vanuit ''p11-kit'' (merk op dat sommige distributies, zoals op Red Hat gebaseerde exemplaren, dit al standaard doen door ''p11-kit-trust<!-- -->.so'' te leveren als ''libnsscbki<!-- -->.so''). Dit kan worden gedaan door het [https://github.com/mozilla/policy-templates#securitydevices beleid SecurityDevices] in te stellen in '''/etc/firefox/policies/policies.json''' en een entry toe te voegen die verwijst naar de locatie van ''p11-kit-trust<!-- -->.so'' in het systeem, door deze handmatig toe te voegen via de ‘Beveiligingsapparaten’beheerder in Voorkeuren, of door modutil te gebruiken. ==De certificaatdatabases vooraf laden (alleen voor nieuwe profielen)== Sommige mensen maken een nieuw profiel aan in Firefox, installeren de gewenste certificaten handmatig en distribueren vervolgens met deze methode de diverse db-bestanden (''cert9.db'', ''key4.db'' en ''secmod.db'') naar nieuwe profielen. Deze benadering wordt niet aanbevolen en werkt alleen voor nieuwe profielen. ==Certutil== U kunt certutil gebruiken om de Firefox-certificaatdatabases vanaf de opdrachtregel bij te werken. Kijk op de [https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certutil Microsoft-ondersteuningswebsite] voor meer informatie.