Zertifizierungsstellen in Firefox einrichten

Versionsdaten
  • Versions-ID: 288859
  • Erstellt:
  • Autor: Artist
  • Kommentar: kl. Korrektur: Roots ➔ Root-Zertifizierungsstellen
  • Überprüft: Ja
  • Überprüft:
  • Überprüft von: Artist
  • Freigegeben? Ja
  • Ist das die aktuelle Version? Ja
  • Bereit zum Übersetzen: Nein
Quelltext der Version
Vorschau der Änderung

Dieser Artikel richtet sich an Systemadministratoren, die Firefox auf den Computern von Unternehmen oder Organisationen einrichten möchten.
Wenn Ihr Unternehmen oder Ihre Organisation private Zertifizierungsstellen (engl. „Certificate Authorities“ oder kurz „CA“ genannt) verwendet, um Zertifikate für Ihre internen Server auszustellen, zeigen Browser wie Firefox möglicherweise Fehlermeldungen an, es sei denn, Sie konfigurieren sie so, dass sie diese privaten Zertifikate erkennen. Dies sollte so früh wie möglich erfolgen, damit Ihre Nutzer keine Probleme beim Zugriff auf Websites haben.

Sie können diese CA-Zertifikate mit einer der folgenden Methoden hinzufügen.

Verwendung der integrierten Unterstützung unter Windows, macOS und Android (empfohlen)

Standardmäßig sucht Firefox unter Windows, macOS und Android nach Zertifizierungsstellen (CAs) von Drittanbietern, die zum Zertifikatsspeicher des Betriebssystems hinzugefügt wurden, und verwendet diese. Wenn Sie Ihr Betriebssystem so konfiguriert haben, dass es den privaten CAs Ihres Unternehmens vertraut, sollte Firefox diesen Zertifizierungsstellen vertrauen, ohne dass eine zusätzliche Konfiguration erforderlich ist. Diese Funktion kann in Ihren Einstellungen (im Tab about:preferences) gesteuert werden. Gehen Sie dazu im Abschnitt Datenschutz & Sicherheit im Bereich Sicherheit zum Absatz „Zertifikate“ und setzen Sie ein Häkchen neben Firefox erlauben, Stammzertifikaten von Drittanbietern, die Sie installieren, automatisch zu vertrauen. Alternativ können Sie auch im Konfigurationseditor (about:config) die Einstellung security.enterprise_roots.enabled verwenden, indem Sie die Einstellung auf true setzen.

Unterstützung in Windows Enterprise

Sie können Firefox so konfigurieren, dass er automatisch nach CAs sucht und solche importiert, die von einem Nutzer oder Administrator zum Windows-Zertifikatspeicher hinzugefügt wurden.

  1. Tippen Sie about:config in die Adressleiste und drücken Sie die Eingabetaste. Eine Seite mit einem Warnhinweis öffnet sich. Klicken Sie auf Risiko akzeptieren und fortfahren, um den Konfigurationseditor (die Seite „about:config“ für erweiterte Einstellungen) zu öffnen.
  2. Tippen Sie security.enterprise_roots.enabled in das Feld Einstellungsname suchen und setzen Sie dann in der Einstellung security.enterprise_roots.enabled den Wert mit einem Klick auf die Schaltfläche Fx71aboutconfig-ToggleButton (Umschalten) auf true.
  3. Starten Sie danach Firefox neu, damit die Änderung wirksam wird.

Firefox sucht im Registry-Speicherort HKLM\SOFTWARE\Microsoft\SystemCertificates (entspricht dem API-Flag CERT_SYSTEM_STORE_LOCAL_MACHINE) nach Zertifizierungsstellen, denen es vertraut, um Zertifikate für die TLS-Authentifizierung von Webservern auszustellen. Alle dort gefundenen Zertifizierungsstellen werden importiert und von Firefox als vertrauenswürdig eingestuft, obwohl sie möglicherweise nicht in der Zertifikatsverwaltung von Firefox angezeigt werden. Die Verwaltung dieser Zertifizierungsstellen muss mit integrierten Windows-Tools oder anderen Dienstprogrammen von Drittanbietern erfolgen.

Firefox sucht auch in den Registry-Speicherorten HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates und HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (diese entsprechen den API-Flags CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY bzw. CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE).

Unterstützung in macOS Enterprise

Dies funktioniert auch für macOS, indem die im Schlüsselbund des macOS-Systems gefundenen Root-Zertifizierungsstellen importiert werden.

Richtlinien zum Import von CA-Zertifikaten verwenden

Eine Gruppenrichtlinie (Windows) kann verwendet werden, um CA-Zertifikate zu Firefox hinzuzufügen.

  • Das Setzen des ImportEnterpriseRoots-Schlüssels veranlasst Firefox, Stammzertifikaten zu vertrauen. Wir empfehlen diese Option, um Firefox Vertrauen für eine private PKI hinzuzufügen. Es ist gleichbedeutend mit dem Setzen der Einstellung security.enterprise_roots.enabled, wie oben im Kapitel Verwendung der integrierten Unterstützung unter Windows, macOS und Android (empfohlen) beschrieben.
  • Der Install-Schlüssel sucht standardmäßig nach Zertifikaten an den unten aufgeführten Stellen. Sie können einen vollqualifizierten Pfad angeben (siehe die hier aufgeführten Beispiele). Wenn Firefox in Ihrem vollqualifizierten Pfad nichts findet, sucht er in den Standardverzeichnissen:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Linux

Verwendung von p11-kit-trust.so unter Linux

Zertifikate können programmgesteuert importiert werden, indem p11-kit-trust.so aus p11-kit verwendet wird. Bitte beachten Sie, dass einige Distributionen (z. B. auf Red Hat-basierte) dies bereits standardmäßig tun, wenn p11-kit-trust.so als libnsscbki.so verteilt wird.

Dies kann manuell über den Sicherheitsgeräte-Manager in den Einstellungen hinzugefügt werden, indem Sie die Richtlinie „SecurityDevices“ in /etc/firefox/policies/policies.json festlegen und einen Eintrag hinzufügen, der auf den Speicherort p11-kit-trust.so im System verweist, oder indem Sie das Dienstprogramm modutil verwenden.

Vorladen der Zertifikatsdatenbanken (nur für neue Profile)

Manche Nutzer möchten ein neues Profil in Firefox erstellen, manuell die benötigten Zertifikate installieren und dann die verschiedenen .db-Dateien (cert9.db, key4.db und secmod.db) auf diese Weise an die neuen Profile verteilen. Dieses Vorgehen wird nicht empfohlen und die Methode funktioniert nur für neue Profile.

Certutil

Sie können die Firefox-Zertifikatsdatenbanken über die Befehlszeile mit certutil aktualisieren. Weitere Informationen erhalten Sie in dieser Microsoft-Dokumentation.