Comparer les révisions

Paramétrage des autorités de certification (AC) dans Firefox

Révision 261371 :

Révision 261371 par Mozinet le

Révision 288316 :

Révision 288316 par Mozinet le

Mots-clés :

Résumé des résultats de recherche :

Apprenez à installer les autorités de certification dans Firefox pour entreprise.
Apprenez à installer les autorités de certification dans Firefox pour entreprise.

Contenu :

[[Template:Enterprise]] Si votre organisation utilise des autorités de certification (AC) privées pour délivrer des certificats pour vos serveurs internes, les navigateurs comme Firefox sont susceptibles d’afficher des erreurs, à moins que vous ne les configuriez pour qu’ils reconnaissent ces certificats privés. Il faut que cela soit fait suffisamment tôt pour que vos utilisateurs et utilisatrices n’aient pas de souci pour accéder à ces sites web. Vous pouvez ajouter les certificats de ces AC par l’une des méthodes suivantes. __TOC__ =Utilisation de stratégies pour importer les certificats des AC (recommandé)= À compter de la [[Find what version of Firefox you are using|version de Firefox]] 64, une [[Customizing Firefox Using Group Policy (Windows)|stratégie d’entreprise]] peut s’utiliser pour ajouter des certificats d’AC à Firefox. *Paramétrer la clé ''ImportEnterpriseRoots'' à '''true''' amène Firefox à se fier aux certificats racines. Nous recommandons cette option pour donner la confiance de Firefox à une infrastructure à clés publiques (PKI) privée. C’est équivalent au paramétrage de la préférence {pref security.enterprise_roots.enabled} tel qu’il est décrit plus bas dans la section [[#w_utilisation-de-la-prise-en-charge-integree-de-windows-et-macos|Utilisation de la prise en charge intégrée de Windows et macOS]]. *La clé ''Install'' cherche par défaut des certificats dans les emplacements énumérés ci-dessous. À compter de la version 65 de Firefox, vous pouvez spécifier un chemin pleinement qualifié (voir ''cert3.der'' et ''cert4.pem'' dans [https://github.com/mozilla/policy-templates/blob/master/README.md#Certificates cet exemple]). Si Firefox ne trouve rien en suivant votre chemin pleinement qualifié, il cherche dans les répertoires par défaut : **Windows ***{filepath %USERPROFILE%\AppData\Local\Mozilla\Certificates} ***{filepath %USERPROFILE%\AppData\Roaming\Mozilla\Certificates} **macOS ***{filepath /Library/Application Support/Mozilla/Certificates} ***{filepath ~/Library/Application Support/Mozilla/Certificates} **Linux ***{filepath /usr/lib/mozilla/certificates} ***{filepath /usr/lib64/mozilla/certificates} =Utilisation de la prise en charge intégrée de Windows et macOS= Paramétrer la préférence {pref security.enterprise_roots.enabled} à la valeur {pref true} dans la page ''about:config'' active la prise en charge de la racine de l’entreprise par Windows ou macOS. ==Prise en charge de l’entreprise sous Windows== À compter de la version 49, Firefox peut être configuré pour rechercher automatiquement des AC, ajoutées au magasin de certificats de Windows dans le cadre de l’utilisation ou de l’administration, et les importer. #[[Template:aboutconfig]] #Rechercher la préférence {pref security.enterprise_roots.enabled} Cliquez sur le bouton ''Inverser'' [[Image:Fx71aboutconfig-ToggleButton]] à côté de la préférence pour passer sa valeur à {pref true} #Redémarrez Firefox. Firefox inspecte alors l’emplacement du registre ''HKLM\SOFTWARE\Microsoft\SystemCertificates'' (qui correspond au drapeau ''CERT_SYSTEM_STORE_LOCAL_MACHINE'' de l’API) pour des AC reconnues comme fiables pour délivrer des certificats pour l’authentification de serveurs web par TLS. Toutes ces AC sont importées par Firefox et sont considérées fiables, bien qu’il soit possible qu’elles ne figurent pas dans le gestionnaire de certificats de Firefox. L’administration de ces AC devrait se faire par l’utilisation des outils intégrés à Windows ou par des utilitaires tiers. '''Firefox version 52 :''' Firefox cherche également dans les emplacements du registre ''HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates'' et ''HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates'' (qui correspondent respectivement aux drapeaux ''CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY'' et ''CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE''). {note}'''Note :''' ce paramétrage importe seulement des certificats du magasin des autorités de certification de confiance racines, non les correspondants du magasin des autorités de certification intermédiaires. Consultez le [https://bugzilla.mozilla.org/show_bug.cgi?id=1473573 bogue 1473573]. si vous rencontrez des erreurs ''émetteur inconnu'' même après l’activation de cette fonctionnalité, essayez de configurer votre serveur TLS pour inclure les certificats nécessaires intermédiaires dans le ''handshake'' TLS.{/note} ==Prise en charge de l’entreprise sous macOS== À compter de la version 63 de Firefox, cette fonctionnalité est également valable pour macOS par l’importation des AC racines trouvées dans le chaînage des clés du système macOS. =Linux= ==Utilisation de p11-kit-trust.<!---->so sous Linux== Des certificats peuvent être importés par programmation en utilisant ''p11-kit-trust<!---->.so'' de ''p11-kit'' (notez que des distributions, telles celles basées sur Red Hat, le font déjà par défaut en intégrant ''p11-kit-trust.<!---->so'' comme ''libnsscbki<!---->.so''). Cela peut se faire en configurant [https://github.com/mozilla/policy-templates#securitydevices la stratégie ''SecurityDevices''] dans '''/etc/firefox/policies/policies.json''' pour y ajouter une entrée pointant vers l’emplacement de ''p11-kit-trust<!---->.so'' dans le système, en l’ajoutant manuellement via le gestionnaire des ''périphériques de sécurité'' dans les paramètres, ou en utilisant l’utilitaire modutil. ==Préchargement des bases de données de certificats (uniquement pour les nouveaux profils)== Des personnes créent un nouveau profil dans Firefox, installe manuellement les certificats dont ils ont besoin, puis distribuent les différents fichiers .db (''cert9.db'', ''key4.db'' and ''secmod.db'') dans de nouveaux profils par cette méthode. Il ne s’agit pas de l’approche recommandée, et, de plus, cette méthode fonctionne uniquement pour de nouveaux profils. ==Certutil== Vous pouvez utiliser certutil pour mettre à jour les bases de données de certificats de Firefox par la ligne de commande. Consultez [https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certutil le site d’assistance de Microsoft] ou la page de manuel de certutil pour davantage d’informations.
[[Template:enterprise]] Si votre organisation utilise des autorités de certification (AC) privées pour délivrer des certificats pour vos serveurs internes, les navigateurs comme Firefox sont susceptibles d’afficher des erreurs, à moins que vous ne les configuriez pour qu’ils reconnaissent ces certificats privés. Il faut que cela soit fait suffisamment tôt pour que vos utilisateurs et utilisatrices n’aient pas de souci pour accéder à ces sites web. Vous pouvez ajouter les certificats de ces AC par l’une des méthodes suivantes. __TOC__ =Utiliser la prise en charge intégrée pour Windows, macOS et Android (recommandé)= Par défaut, Firefox sous Windows, macOS ou Android recherche et utilise les AC tierces ajoutées au magasin de certificats du système d’exploitation. Si vous avez configuré votre système d’exploitation pour accorder votre confiance aux AC privées de votre organisation, Firefox leur fait donc confiance sans qu’aucune autre configuration soit nécessaire. Cette fonctionnalité peut être contrôlée dans le volet {menu Vie privée et sécurité} des paramètres (page ''about:preferences'') en cochant la case '''Autoriser Firefox à faire automatiquement confiance aux certificats racines tiers que vous installez'''. La préférence {pref security.enterprise_roots.enabled} dans la page ''about:config'' contrôle également cette fonctionnalité. ==Prise en charge de l’entreprise sous Windows== Firefox peut être configuré pour rechercher automatiquement des AC ajoutées au magasin de certificats de Windows dans le cadre de l’utilisation ou de l’administration, et les importer. #[[Template:aboutconfig]] #Rechercher la préférence {pref security.enterprise_roots.enabled} #Cliquez sur le bouton ''Inverser'' [[Image:Fx71aboutconfig-ToggleButton]] à côté de la préférence pour passer sa valeur à {pref true} #Redémarrez Firefox. Firefox inspecte alors l’emplacement du registre ''HKLM\SOFTWARE\Microsoft\SystemCertificates'' (qui correspond au drapeau ''CERT_SYSTEM_STORE_LOCAL_MACHINE'' de l’API) pour des AC reconnues comme fiables pour délivrer des certificats pour l’authentification de serveurs web par TLS. Toutes ces AC sont importées par Firefox et sont considérées fiables, bien qu’il soit possible qu’elles ne figurent pas dans le gestionnaire de certificats de Firefox. L’administration de ces AC devrait se faire par l’utilisation des outils intégrés à Windows ou par des utilitaires tiers. Firefox cherche aussi dans les emplacements du registre ''HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates'' et ''HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates'' (qui correspondent respectivement aux drapeaux ''CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY'' et ''CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE''). ==Prise en charge de l’entreprise sous macOS== Cette fonctionnalité est également valable pour macOS par l’importation des AC racines trouvées dans le chaînage des clés du système macOS. =Utiliser les stratégies pour importer les certificats des AC= Une [[Customizing Firefox Using Group Policy (Windows)|stratégie d’entreprise]] peut s’utiliser pour ajouter des certificats d’AC à Firefox. *Paramétrer la clé ''ImportEnterpriseRoots'' à '''true''' amène Firefox à se fier aux certificats racines. Nous recommandons cette option pour donner la confiance de Firefox à une infrastructure à clés publiques (PKI) privée. C’est équivalent au paramétrage de la préférence {pref security.enterprise_roots.enabled} tel qu’il est décrit plus haut dans la section [[#w_utilisation-de-la-prise-en-charge-integree-de-windows-macos-et-android-recommandee|Utilisation de la prise en charge intégrée de Windows, macOS et Android]]. *La clé ''Install'' cherche par défaut des certificats dans les emplacements énumérés ci-dessous. Vous pouvez spécifier un chemin pleinement qualifié (voir [https://mozilla.github.io/policy-templates/#certificates les exemples fournis]). Si Firefox ne trouve rien en suivant votre chemin pleinement qualifié, il cherche dans les répertoires par défaut : *;Windows *:{filepath %USERPROFILE%\AppData\Local\Mozilla\Certificates} *:{filepath %USERPROFILE%\AppData\Roaming\Mozilla\Certificates} *;macOS *:{filepath /Library/Application Support/Mozilla/Certificates} *:{filepath ~/Library/Application Support/Mozilla/Certificates} *;Linux *:{filepath /usr/lib/mozilla/certificates} *:{filepath /usr/lib64/mozilla/certificates} =Linux= ==Utilisation de p11-kit-trust.<!---->so sous Linux== Des certificats peuvent être importés par programmation en utilisant ''p11-kit-trust<!---->.so'' de ''p11-kit'' (notez que des distributions, telles celles basées sur Red Hat, le font déjà par défaut en intégrant ''p11-kit-trust.<!---->so'' comme ''libnsscbki<!---->.so''). Cela peut se faire en configurant [https://mozilla.github.io/policy-templates/#securitydevices la stratégie ''SecurityDevices''] dans '''/etc/firefox/policies/policies.json''' pour y ajouter une entrée pointant vers l’emplacement de ''p11-kit-trust<!---->.so'' dans le système, en l’ajoutant manuellement via le gestionnaire des ''périphériques de sécurité'' dans les paramètres, ou en utilisant l’utilitaire modutil. ==Préchargement des bases de données de certificats (uniquement pour les nouveaux profils)== Quelques personnes [[Profile Manager - Create, remove or switch Firefox profiles|créent un nouveau profil dans Firefox]], installent manuellement les certificats dont ils ont besoin, puis distribuent les différents fichiers .db (''cert9.db'', ''key4.db'' et ''secmod.db'') dans de nouveaux profils par cette méthode. Il ne s’agit pas de l’approche recommandée et, de plus, cette méthode fonctionne uniquement pour de nouveaux profils. ==Certutil== Vous pouvez utiliser certutil pour mettre à jour les bases de données de certificats de Firefox par la ligne de commande. Consultez [https://docs.microsoft.com/windows-server/administration/windows-commands/certutil le site d’assistance de Microsoft] ou la page de manuel de certutil pour davantage d’informations.

Retour à l’historique