Versionen vergleichen
Zertifizierungsstellen in Firefox einrichten
Version 288332:
Version 288332 von Artist am
Version 288859:
Version 288859 von Artist am
Schlüsselwörter:
Zusammenfassung für die Suchergebnisse:
Der Artikel beschreibt, wie Sie in Ihrer Organisation Zertifizierungsstellen (CAs) in Firefox für Unternehmen einrichten.
Der Artikel beschreibt, wie Sie in Ihrer Organisation Zertifizierungsstellen (CAs) in Firefox für Unternehmen einrichten.
Inhalt:
[[Template:enterprise]]
Wenn Ihr Unternehmen oder Ihre Organisation private Zertifizierungsstellen (engl. „Certificate Authorities“ oder kurz „CA“ genannt) verwendet, um Zertifikate für Ihre internen Server auszustellen, zeigen Browser wie Firefox möglicherweise Fehlermeldungen an, es sei denn, Sie konfigurieren sie so, dass sie diese privaten Zertifikate erkennen. Dies sollte so früh wie möglich erfolgen, damit Ihre Nutzer keine Probleme beim Zugriff auf Websites haben.
Sie können diese CA-Zertifikate mit einer der folgenden Methoden hinzufügen.
__TOC__
=Verwendung der integrierten Unterstützung unter Windows, macOS und Android (empfohlen)=
Standardmäßig sucht Firefox unter Windows, macOS und Android nach Zertifizierungsstellen (CAs) von Drittanbietern, die zum Zertifikatsspeicher des Betriebssystems hinzugefügt wurden, und verwendet diese. Wenn Sie Ihr Betriebssystem so konfiguriert haben, dass es den privaten CAs Ihres Unternehmens vertraut, sollte Firefox diesen Zertifizierungsstellen vertrauen, ohne dass eine zusätzliche Konfiguration erforderlich ist. Diese Funktion kann in Ihren Einstellungen (im Tab '''about:preferences''') gesteuert werden. Gehen Sie dazu im Abschnitt {menu Datenschutz & Sicherheit} im Bereich ''Sicherheit'' zum Absatz „Zertifikate“ und setzen Sie ein Häkchen neben '''Firefox erlauben, Stammzertifikaten von Drittanbietern, die Sie installieren, automatisch zu vertrauen'''. Alternativ können Sie auch im Konfigurationseditor ('''about:config''') die Einstellung {pref security.enterprise_roots.enabled} verwenden, indem Sie die Einstellung auf {pref '''true'''} setzen.
==Unterstützung in Windows Enterprise==
Sie können Firefox so konfigurieren, dass er automatisch nach CAs sucht und solche importiert, die von einem Nutzer oder Administrator zum Windows-Zertifikatspeicher hinzugefügt wurden.
#[[Template:aboutconfig]]
#Tippen Sie '''security.enterprise_roots.enabled''' in das Feld ''Einstellungsname suchen'' und setzen Sie dann in der Einstellung {pref security.enterprise_roots.enabled} den Wert mit einem Klick auf die Schaltfläche [[Image:Fx71aboutconfig-ToggleButton]] (Umschalten) auf {pref '''true'''}.
#Starten Sie danach Firefox neu, damit die Änderung wirksam wird.
Firefox sucht im Registry-Speicherort ''HKLM\SOFTWARE\Microsoft\SystemCertificates'' (entspricht dem API-Flag ''CERT_SYSTEM_STORE_LOCAL_MACHINE'') nach Zertifizierungsstellen, denen es vertraut, um Zertifikate für die TLS-Authentifizierung von Webservern auszustellen. Alle dort gefundenen Zertifizierungsstellen werden importiert und von Firefox als vertrauenswürdig eingestuft, obwohl sie möglicherweise nicht in der Zertifikatsverwaltung von Firefox angezeigt werden. Die Verwaltung dieser Zertifizierungsstellen muss mit integrierten Windows-Tools oder anderen Dienstprogrammen von Drittanbietern erfolgen.
Firefox sucht auch in den Registry-Speicherorten ''HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates'' und ''HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates'' (diese entsprechen den API-Flags ''CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY'' bzw. ''CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE'').
==Unterstützung in macOS Enterprise==
Dies funktioniert auch für macOS, indem die im Schlüsselbund des macOS-Systems gefundenen Roots importiert werden.
=Richtlinien zum Import von CA-Zertifikaten verwenden=
Eine [[Customize Firefox using Group Policy (Windows)|Gruppenrichtlinie (Windows)]] kann verwendet werden, um CA-Zertifikate zu Firefox hinzuzufügen.
*Das Setzen des ''ImportEnterpriseRoots''-Schlüssels veranlasst Firefox, Stammzertifikaten zu vertrauen. Wir empfehlen diese Option, um Firefox Vertrauen für eine private PKI hinzuzufügen. Es ist gleichbedeutend mit dem Setzen der Einstellung {pref security.enterprise_roots.enabled}, wie oben im Kapitel [[#w_verwendung-der-integrierten-unterstutzung-unter-windows-macos-und-android-empfohlen|Verwendung der integrierten Unterstützung unter Windows, macOS und Android (empfohlen)]] beschrieben.
*Der ''Install''-Schlüssel sucht standardmäßig nach Zertifikaten an den unten aufgeführten Stellen. Sie können einen vollqualifizierten Pfad angeben (siehe die [https://mozilla.github.io/policy-templates/#certificates hier aufgeführten Beispiele]). Wenn Firefox in Ihrem vollqualifizierten Pfad nichts findet, sucht er in den Standardverzeichnissen:
**Windows
***%USERPROFILE%\AppData\Local\Mozilla\Certificates
***%USERPROFILE%\AppData\Roaming\Mozilla\Certificates
**macOS
***/Library/Application Support/Mozilla/Certificates
***~/Library/Application Support/Mozilla/Certificates
**Linux
***/usr/lib/mozilla/certificates
***/usr/lib64/mozilla/certificates
=Linux=
==Verwendung von p11-kit-trust<!-- -->.so unter Linux==
Zertifikate können programmgesteuert importiert werden, indem ''p11-kit-trust<!-- -->.so'' aus ''p11-kit'' verwendet wird. Bitte beachten Sie, dass einige Distributionen (z. B. auf Red Hat-basierte) dies bereits standardmäßig tun, wenn ''p11-kit-trust<!-- -->.so'' als ''libnsscbki<!-- -->.so'' verteilt wird.
Dies kann manuell über den Sicherheitsgeräte-Manager in den Einstellungen hinzugefügt werden, indem Sie die Richtlinie [https://mozilla.github.io/policy-templates/#securitydevices „SecurityDevices“] in ''/etc/firefox/policies/policies.json'' festlegen und einen Eintrag hinzufügen, der auf den Speicherort ''p11-kit-trust<!-- -->.so'' im System verweist, oder indem Sie das Dienstprogramm ''modutil'' verwenden.
==Vorladen der Zertifikatsdatenbanken (nur für neue Profile)==
Manche Nutzer möchten [[Profile Manager - Create, remove or switch Firefox profiles|ein neues Profil in Firefox erstellen]], manuell die benötigten Zertifikate installieren und dann die verschiedenen .db-Dateien (''cert9.db'', ''key4.db'' und ''secmod.db'') auf diese Weise an die neuen Profile verteilen. Dieses Vorgehen wird nicht empfohlen und die Methode funktioniert nur für neue Profile.
==Certutil==
Sie können die Firefox-Zertifikatsdatenbanken über die Befehlszeile mit '''certutil''' aktualisieren. Weitere Informationen erhalten Sie in [https://docs.microsoft.com/windows-server/administration/windows-commands/certutil dieser Microsoft-Dokumentation].
[[Template:enterprise]]
Wenn Ihr Unternehmen oder Ihre Organisation private Zertifizierungsstellen (engl. „Certificate Authorities“ oder kurz „CA“ genannt) verwendet, um Zertifikate für Ihre internen Server auszustellen, zeigen Browser wie Firefox möglicherweise Fehlermeldungen an, es sei denn, Sie konfigurieren sie so, dass sie diese privaten Zertifikate erkennen. Dies sollte so früh wie möglich erfolgen, damit Ihre Nutzer keine Probleme beim Zugriff auf Websites haben.
Sie können diese CA-Zertifikate mit einer der folgenden Methoden hinzufügen.
__TOC__
=Verwendung der integrierten Unterstützung unter Windows, macOS und Android (empfohlen)=
Standardmäßig sucht Firefox unter Windows, macOS und Android nach Zertifizierungsstellen (CAs) von Drittanbietern, die zum Zertifikatsspeicher des Betriebssystems hinzugefügt wurden, und verwendet diese. Wenn Sie Ihr Betriebssystem so konfiguriert haben, dass es den privaten CAs Ihres Unternehmens vertraut, sollte Firefox diesen Zertifizierungsstellen vertrauen, ohne dass eine zusätzliche Konfiguration erforderlich ist. Diese Funktion kann in Ihren Einstellungen (im Tab '''about:preferences''') gesteuert werden. Gehen Sie dazu im Abschnitt {menu Datenschutz & Sicherheit} im Bereich ''Sicherheit'' zum Absatz „Zertifikate“ und setzen Sie ein Häkchen neben '''Firefox erlauben, Stammzertifikaten von Drittanbietern, die Sie installieren, automatisch zu vertrauen'''. Alternativ können Sie auch im Konfigurationseditor ('''about:config''') die Einstellung {pref security.enterprise_roots.enabled} verwenden, indem Sie die Einstellung auf {pref '''true'''} setzen.
==Unterstützung in Windows Enterprise==
Sie können Firefox so konfigurieren, dass er automatisch nach CAs sucht und solche importiert, die von einem Nutzer oder Administrator zum Windows-Zertifikatspeicher hinzugefügt wurden.
#[[Template:aboutconfig]]
#Tippen Sie '''security.enterprise_roots.enabled''' in das Feld ''Einstellungsname suchen'' und setzen Sie dann in der Einstellung {pref security.enterprise_roots.enabled} den Wert mit einem Klick auf die Schaltfläche [[Image:Fx71aboutconfig-ToggleButton]] (Umschalten) auf {pref '''true'''}.
#Starten Sie danach Firefox neu, damit die Änderung wirksam wird.
Firefox sucht im Registry-Speicherort ''HKLM\SOFTWARE\Microsoft\SystemCertificates'' (entspricht dem API-Flag ''CERT_SYSTEM_STORE_LOCAL_MACHINE'') nach Zertifizierungsstellen, denen es vertraut, um Zertifikate für die TLS-Authentifizierung von Webservern auszustellen. Alle dort gefundenen Zertifizierungsstellen werden importiert und von Firefox als vertrauenswürdig eingestuft, obwohl sie möglicherweise nicht in der Zertifikatsverwaltung von Firefox angezeigt werden. Die Verwaltung dieser Zertifizierungsstellen muss mit integrierten Windows-Tools oder anderen Dienstprogrammen von Drittanbietern erfolgen.
Firefox sucht auch in den Registry-Speicherorten ''HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates'' und ''HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates'' (diese entsprechen den API-Flags ''CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY'' bzw. ''CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE'').
==Unterstützung in macOS Enterprise==
Dies funktioniert auch für macOS, indem die im Schlüsselbund des macOS-Systems gefundenen Root-Zertifizierungsstellen importiert werden.
=Richtlinien zum Import von CA-Zertifikaten verwenden=
Eine [[Customize Firefox using Group Policy (Windows)|Gruppenrichtlinie (Windows)]] kann verwendet werden, um CA-Zertifikate zu Firefox hinzuzufügen.
*Das Setzen des ''ImportEnterpriseRoots''-Schlüssels veranlasst Firefox, Stammzertifikaten zu vertrauen. Wir empfehlen diese Option, um Firefox Vertrauen für eine private PKI hinzuzufügen. Es ist gleichbedeutend mit dem Setzen der Einstellung {pref security.enterprise_roots.enabled}, wie oben im Kapitel [[#w_verwendung-der-integrierten-unterstutzung-unter-windows-macos-und-android-empfohlen|Verwendung der integrierten Unterstützung unter Windows, macOS und Android (empfohlen)]] beschrieben.
*Der ''Install''-Schlüssel sucht standardmäßig nach Zertifikaten an den unten aufgeführten Stellen. Sie können einen vollqualifizierten Pfad angeben (siehe die [https://mozilla.github.io/policy-templates/#certificates hier aufgeführten Beispiele]). Wenn Firefox in Ihrem vollqualifizierten Pfad nichts findet, sucht er in den Standardverzeichnissen:
**Windows
***%USERPROFILE%\AppData\Local\Mozilla\Certificates
***%USERPROFILE%\AppData\Roaming\Mozilla\Certificates
**macOS
***/Library/Application Support/Mozilla/Certificates
***~/Library/Application Support/Mozilla/Certificates
**Linux
***/usr/lib/mozilla/certificates
***/usr/lib64/mozilla/certificates
=Linux=
==Verwendung von p11-kit-trust<!-- -->.so unter Linux==
Zertifikate können programmgesteuert importiert werden, indem ''p11-kit-trust<!-- -->.so'' aus ''p11-kit'' verwendet wird. Bitte beachten Sie, dass einige Distributionen (z. B. auf Red Hat-basierte) dies bereits standardmäßig tun, wenn ''p11-kit-trust<!-- -->.so'' als ''libnsscbki<!-- -->.so'' verteilt wird.
Dies kann manuell über den Sicherheitsgeräte-Manager in den Einstellungen hinzugefügt werden, indem Sie die Richtlinie [https://mozilla.github.io/policy-templates/#securitydevices „SecurityDevices“] in ''/etc/firefox/policies/policies.json'' festlegen und einen Eintrag hinzufügen, der auf den Speicherort ''p11-kit-trust<!-- -->.so'' im System verweist, oder indem Sie das Dienstprogramm ''modutil'' verwenden.
==Vorladen der Zertifikatsdatenbanken (nur für neue Profile)==
Manche Nutzer möchten [[Profile Manager - Create, remove or switch Firefox profiles|ein neues Profil in Firefox erstellen]], manuell die benötigten Zertifikate installieren und dann die verschiedenen .db-Dateien (''cert9.db'', ''key4.db'' und ''secmod.db'') auf diese Weise an die neuen Profile verteilen. Dieses Vorgehen wird nicht empfohlen und die Methode funktioniert nur für neue Profile.
==Certutil==
Sie können die Firefox-Zertifikatsdatenbanken über die Befehlszeile mit '''certutil''' aktualisieren. Weitere Informationen erhalten Sie in [https://docs.microsoft.com/windows-server/administration/windows-commands/certutil dieser Microsoft-Dokumentation].