Mit dem Firefox Browser der eigenen Enterprise CA bzw. den Zertifikaten im Windows Zertifikatsspeicher vertrauen.
In einem Kundenprojekt gab es den Bedarf an einer zweistufigen Public Key Infrastruktur sowie der Nutzung des Firefox Browsers. Zum Einen gab es hier die Herausforderung dem Firefox beizubringen den Windows Zertifikatsspeicher zu nutzen sowie zum Anderen diese Einstellung nach Möglichkeit automatisiert auszurollen.
Update: Ab Version 60 versteht der Mozilla Firefox Gruppenrichtlinien – Juchuu!
Damit der Firefox Browser den per GPO verteilten Zertifikaten (Computer Konfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Vertrauenswürdige Stammzertifizierungsstellen bzw. Zwischenzertifizierungsstellen) vertraut muss im Firefox im about:config Tab die Nutzung der Enterprise Roots aktiviert werden.
Firefox Windows_Zertifikatsspeicher 
Firefox Enable Enterprise Roots 
Firefox Windows Zertifikatsspeicher
Um die guten Schuhe zu schonen wird jetzt ein Weg benötitig, diese Einstellung zu verteilen. Dazu wird ein GPO oder ein Start-Up-Script benötigt welches eine js-Datei ins Firefox Programmverzeichniss (C:\Program Files (x86)\Mozilla Firefox\defaults\pref) kopiert. Als Beispiel die Verteilung per GPO:
Dazu eine Freigabe erstellen in der die Computerkonten bzw. die „Authentifizierten User“ Lesen dürfen sowie ebenfalls das NTFS Recht „Lesen“ besitzen.
Computer auf Freigabe berechtigen 
EnableRoot.js
Im Ordner eine „EnableRoot.js“-Datei anlegen
/* Windows Zertifikatsspeicher nutzen */
pref("security.enterprise_roots.enabled", true);
GPO erstellen welche mit der entsprechenden Computer-OU verlinkt ist und unter Computerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Dateien eine „neue Datei“ erstellen sowie eine Zielgruppenadressierung für x64 bzw. 64 Bit Systeme hinzufügen:
Quelldatei(en): \\<Server>\<Freigabe>\EnableRoot.js
Gruppenrichtlinien Einstellung (Group Policy Preference) für 64-Bit
Zieldatei: C:\Program Files (x86)\Mozilla Firefox\defaults\pref\EnableRoot.js
Select * from Win32_Processor where AddressWidth = ’64‘
Für die älteren x86 bzw. 32 Bit Clients folgende „neue Datei“ samt Zielgruppenadressierung erstellen:
Quelldatei(en): \\<Server>\<Freigabe>\EnableRoot.js
Gruppenrichtlinien Einstellung (Group Policy Preference) für 32-Bit
Zieldatei: C:\Program Files\Mozilla Firefox\defaults\pref\EnableRoot.js
Select * from Win32_Processor where AddressWidth = ’32‘
Im Worst-Case den Client einmal durchbooten, sofern es ein neues GPO ist oder per „gpupdate“ die Gruppenrichtlinien erneut anwenden.
Schreibe einen Kommentar