Windows-Zertifikatspeicher in Firefox nutzen

    Zertifikate in Mozilla FirefoxMozilla stattet Fire­fox mit einer Daten­bank für Zertifikate aus, die ab Werk eine Reihe von Stamm­zertifikaten ent­hält. Ver­teilt man etwa selbst­signierte Zerti­fikate mittels GPO an Clients, dann bleiben sie deshalb für Firefox unbe­kannt. Über eine Ein­stellung kann Firefox aber Zertifi­kate aus dem Windows-Speicher impor­tieren.

    Als Gründe für einen eigenen Zertifikat­speicher in Firefox nennt Mozilla, dass damit ein durchgängig gleiches Benutzer­erlebnis auf allen unter­stützten Betriebs­systemen gewährleistet sei.

    Außerdem gibt ein eigener Store der Foundation die Kontrolle darüber, welche Zertifizierungs­stellen sie als vertrauens­würdig einstuft. Daher waren Anwender nicht betroffen, als PC-Hersteller in der Ver­gangenheit zweifelhafte CAs in die Root-Zertifizierungsstellen aufnahmen.

    Importiert man ein selbstsigniertes Zertifikat in den Speicher von Windows, dann wird es von Firefox weiterhin nicht anerkannt.

    Zentrales Management als Manko

    Der Nachteil dieser Konstruktion liegt aber auf der Hand: Firefox erfordert ein separates Management der Stamm­zertifikate, wobei die Tools dafür limitiert sind. Ein Verteilen über GPO, wie es für den Zertifikat­speicher von Windows möglich ist, klappt hier nicht.

    Als Lösung bietet Mozilla an, die Stammzertifikate aus dem Windows Certificate Store einzulesen.

    Interaktive Konfiguration

    Interaktiv lässt sich das bewerkstelligen, indem man in die Adressleiste

    about:config

    eingibt und nach dem Wegklicken der Warnung einen neuen Schlüssel vom Typ boolean mit dem Namen security.enterprise_roots.enabled anlegt.

    Neuen Schlüssel in der Firefox-Konfiguration anlegen

    Dieser erhält den Wert true. Über den Befehl Umschalten im Kontextmenü dieser Einstellungen kann man den Schlüssel bei Bedaf wieder auf false setzen.

    Die Firefox-Einstellung security.enterprise_roots.enabled mit dem Wert true

    Windows-Zertifikatspeicher über GPO integrieren

    In verwalteten Umgebungen kann man Firefox mit Gruppen­richtlinien konfigurieren. Dort gibt es sowohl für die Computer- als auch Benutzer­konfiguration die Einstellung Windows Zertifikatspeicher nutzen. Sie findet sich unter Administrative Vorlagen => Mozilla => Firefox => Zertifikate.

    GPO-Einstellung für Firefox, um Stammzertifikate aus dem Windows-Speicher einzulesen

    Sobald diese Einstellung über GPO aktiviert ist, wird sie für die interaktive Konfiguration über about:config gesperrt.

    Setzt man security.enterprise_roots.enabled über GPO, dann ist diese Einstellung für die interaktive Konfiguration gesperrt.

    Beide Varianten schalten den Firefox-eigenen Speicher nicht ab, sondern lesen nur zusätzlich die Stamm­zertifikate aus dem Store von Windows ein. Diese werden in der Zertifikat­verwaltung von Firefox aber nicht eingeblendet.

    Keine Kommentare