– Jan's Cloud – online Gedankenstütze ;)

14. Dezember 2017

Windows Zertifikatsspeicher unter Firefox nutzen

Mit dem Firefox Browser der eigenen Enterprise CA bzw. den Zertifikaten im Windows Zertifikatsspeicher vertrauen

In einem Kundenprojekt gab es den Bedarf an einer zweistufigen Public Key Infrastruktur sowie der Nutzung des Firefox Browsers. Zum Einen gab es hier die Herausforderung dem Firefox beizubringen den Windows Zertifikatsspeicher zu nutzen sowie zum Anderen diese Einstellung nach Möglichkeit automatisiert auszurollen.

Damit der Firefox Browser den per GPO verteilten Zertifikaten (Computer Konfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Vertrauenswürdige Stammzertifizierungsstellen bzw. Zwischenzertifizierungsstellen) vertraut muss im Firefox im about:config Tab die Nutzung der Enterprise Roots aktiviert werden.

Firefox Windows_Zertifikatsspeicher

Firefox Windows_Zertifikatsspeicher

Firefox Enable Enterprise Roots

Firefox Enable Enterprise Roots

 

Firefox Windows Zertifikatsspeicher

Firefox Windows Zertifikatsspeicher

 

 

 

 

 

 

 

 

Um die guten Schuhe zu schonen wird jetzt ein Weg benötitig, diese Einstellung zu verteilen. Dazu wird ein GPO oder ein Start-Up-Script benötigt welches eine js-Datei ins Firefox Programmverzeichniss (C:\Program Files (x86)\Mozilla Firefox\defaults\pref) kopiert. Als Beispiel die Verteilung per GPO:

Dazu eine Freigabe erstellen in der die Computerkonten bzw. die „Authentifizierten User“ Lesen dürfen sowie ebenfalls das NTFS Recht „Lesen“ besitzen.

Computer auf Freigabe berechtigen

Computer auf Freigabe berechtigen

 

 

 

 

 

 

 

Im Ordner eine „EnableRoot.js“-Datei anlegen

/* Windows Zertifikatsspeicher nutzen */
pref(„security.enterprise_roots.enabled“, true);

EnableRoot.js

EnableRoot.js

 

 

 

 

 

GPO erstellen welche mit der entsprechenden Computer-OU verlinkt ist und unter Computerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Dateien eine „neue Datei“ erstellen sowie eine Zielgruppenadressierung für x64 bzw. 64 Bit Systeme hinzufügen:

Quelldatei(en): \\<Server>\<Freigabe>\EnableRoot.js
Zieldatei: C:\Program Files (x86)\Mozilla Firefox\defaults\pref\EnableRoot.js
Select * from Win32_Processor where AddressWidth = ’64‘

Für die älteren x86 bzw. 32 Bit Clients folgende „neue Datei“ samt Zielgruppenadressierung erstellen:

Quelldatei(en): \\<Server>\<Freigabe>\EnableRoot.js
Zieldatei: C:\Program Files\Mozilla Firefox\defaults\pref\EnableRoot.js

 

Select * from Win32_Processor where AddressWidth = ’32‘

Gruppenrichtlinien-Einstellungen und Zielgruppenadressierung

Gruppenrichtlinien-Einstellungen und Zielgruppenadressierung

 

 

 

 

 

 

 

Im Worst-Case den Client einmal durchbooten, sofern es ein neues GPO ist oder per „gpupdate“ die Gruppenrichtlinien erneut anwenden

 

1 Kommentar »

  1. […] RDP Verbindungsdatei erstellen und per GPO (z.B. in diesem Beitrag ab „Um die guten Schuhe zu schon…“ beschrieben) oder Anmeldescript auf die […]

    Pingback by RDS Connection Broker auf dedizierten Server umziehen - Jan's Cloud - — 9. Juli 2018 @ 08:50

RSS feed for comments on this post. TrackBack URL

Leave a comment

Powered by WordPress