Certificaatautoriteiten (CA’s) instellen in Firefox

Firefox for Enterprise Firefox for Enterprise Laatst bijgewerkt: 2 weken, 2 dagen ago

Dit artikel is bedoeld voor IT-beheerders die Firefox op de computers in hun organisatie willen instellen.

Als uw organisatie private certificaatautoriteiten (CA’s) gebruikt om certificaten voor uw interne servers uit te geven, kunnen browsers zoals Firefox foutmeldingen tonen, tenzij u ze configureert om deze private certificaten te herkennen. Dit moet vroeg in het proces gebeuren, zodat uw gebruikers geen problemen hebben met het bezoeken van websites.

U kunt deze CA-certificaten toevoegen met een van de volgende methoden.

De ingebouwde ondersteuning voor Windows, macOS en Android gebruiken (aanbevolen)

Standaard zoekt Firefox in Windows, macOS en Android naar CA’s van derden die zijn toegevoegd aan de certificaatopslag van het besturingssysteem, en gebruikt het deze. Als u dus uw besturingssysteem hebt geconfigureerd om de privé-CA’s van uw organisatie te vertrouwen, zou Firefox die CA’s zonder aanvullende configuratie moeten vertrouwen. Deze functie kan worden ingeregeld in het tabblad Privacy & Beveiliging van about:preferences met het aanvinkveld Firefox toestaan om door u geïnstalleerde rootcertificaten van derden automatisch te vertrouwen. Als alternatief regelt de voorkeur security.enterprise_roots.enabled in about:config deze functie.

Ondersteuning in Windows Enterprise

Firefox kan worden geconfigureerd om automatisch te zoeken naar CA’s die zijn toegevoegd aan de certificaatopslag in Windows door een gebruiker of een administrator en deze te importeren.

  1. Typ about:config in de adresbalk en druk op EnterReturn.
    Er kan een waarschuwingspagina verschijnen. Klik op Het risico aanvaarden en doorgaan om naar de pagina about:config te gaan.
  2. Zoek naar de voorkeur security.enterprise_roots.enabled.
  3. Klik op de schakelaar Fx71aboutconfig-ToggleButton naast deze voorkeur om de waarde naar true te zetten.
  4. Herstart Firefox.

Firefox inspecteert de registerlocatie HKLM\SOFTWARE\Microsoft\SystemCertificates (overeenkomend met het API-label CERT_SYSTEM_STORE_LOCAL_MACHINE) op CA’s die worden vertrouwd om certificaten uit te geven voor TLS-webserverauthenticatie. Dergelijke CA’s worden geïmporteerd en vertrouwd door Firefox, hoewel ze mogelijk niet worden getoond in de certificaatbeheerder van Firefox. Het beheer van deze CA’s dient te gebeuren met de ingebouwde Windows-hulpmiddelen of andere middelen van derden.

Firefox doorzoekt ook de registerlocaties HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates en HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (overeenkomend met de respectievelijke API-labels CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY en CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE).

Ondersteuning in macOS Enterprise

Deze functie werkt ook voor MacOS door roots te importeren die worden gevonden in de macOS-systeemkeychain.

Beleid gebruiken om CA-certificaten te importeren

Een ondernemingsbeleid kan worden gebruikt om CA-certificaten aan Firefox toe te voegen.

  • Het instellen van de sleutel ImportEnterpriseRoots op true zorgt ervoor dat Firefox rootcertificaten vertrouwt. We raden deze optie aan om vertrouwen in een privé-PKI aan Firefox toe te voegen. Het is gelijkwaardig aan het instellen van de voorkeur security.enterprise_roots.enabled, zoals beschreven in de sectie De ingebouwde ondersteuning voor Windows, macOS en Android gebruiken (aanbevolen) hierboven.
  • De sleutel Install zoekt standaard naar certificaten in de onderstaande locaties. U kunt een volledige gekwalificeerd pad opgeven (zie de voorbeelden die hier worden opgesomd). Als Firefox niets vindt in uw volledig gekwalificeerde pad, doorzoekt het de standaardmappen:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Linux

p11-kit-trust.so gebruiken in Linux

Certificaten kunnen programmatisch worden geïmporteerd door p11-kit-trust.so te gebruiken vanuit p11-kit (merk op dat sommige distributies, zoals op Red Hat gebaseerde exemplaren, dit al standaard doen door p11-kit-trust.so te leveren als libnsscbki.so).

Dit kan worden gedaan door het beleid beleid SecurityDevices in te stellen in /etc/firefox/policies/policies.json en een entry toe te voegen die verwijst naar de locatie van de p11-kit-trust.so in het systeem, door deze handmatig toe te voegen via de Beveiligingsapparatenbeheerder in Voorkeuren, of door modutil te gebruiken.

De certificaatdatabases vooraf laden (alleen voor nieuwe profielen)

Sommige gebruikers maken een nieuw profiel aan in Firefox, installeren de gewenste certificaten handmatig en distribueren vervolgens met deze methode de diverse db-bestanden (cert9.db, key4.db en secmod.db) naar nieuwe profielen. Deze benadering wordt niet aanbevolen en werkt alleen voor nieuwe profielen.

Certutil

U kunt certutil gebruiken om de Firefox-certificaatdatabases vanaf de opdrachtregel bij te werken. Kijk op de Microsoft-ondersteuningswebsite voor meer informatie.

Was dit artikel nuttig?

Een moment geduld…

Deze aardige mensen hebben geholpen bij het schrijven van dit artikel:

Illustration of hands

Vrijwilliger worden

Laat uw expertise groeien en deel deze met anderen. Beantwoord vragen en verbeter onze kennisbank.

Meer info