5
Firefox 68.0.2 nutz Windows-Zertifikatsspeicher nichtmehr
Hallo Gemeinde,
ich habe mal wieder ein Problem, und zwar nutzen wir für unser Intranet Zertifikate unserer eigenen CA. Da sich im Firefox eigenen Zertifikate nicht wie CMD oder ähnlichen einfügen lassen, mir zumindest nicht bekannt, haben wir Firefox einfach auf den Windows-Zertifikatsspeicher zugreifen lassen in dem wir unter C:\Program Files\Mozilla Firefox\defaults\pref eine Datei (trustwincerts.js) mit dem Inhalt
eingefügt. Dies hat auch super funktioniert, bis jetzt das Update auf Firefox 68.0.2 kam, seitdem, scheint Firefox dies zu ignorieren und bringt den Fehler Fehlercode: SEC_ERROR_BAD_SIGNATURE und bei diesem Fehler, kann man ja nicht einfach das ganze Dauerhaft akzeptieren.
Die Zertifikate sind nicht das Problem, da es mit IE, EDGE, und Chrome funzt, doch die meisten hier nutzen eben Firefox.
Hat zufällig wer das gleiche Problem und ggf. schon eine Lösung?
Wir nutzen unteranderem Zenworks, daher ist es kein Problem irgendwelche Dateien auszutauschen, Registryeinträge zu ändern, oder oder. Lediglich in den GPO´s sind wir eingeschränkt, da wir kein AD haben, wir nutzen eDirectory.
Danke schonmal für eure Ideen
ich habe mal wieder ein Problem, und zwar nutzen wir für unser Intranet Zertifikate unserer eigenen CA. Da sich im Firefox eigenen Zertifikate nicht wie CMD oder ähnlichen einfügen lassen, mir zumindest nicht bekannt, haben wir Firefox einfach auf den Windows-Zertifikatsspeicher zugreifen lassen in dem wir unter C:\Program Files\Mozilla Firefox\defaults\pref eine Datei (trustwincerts.js) mit dem Inhalt
/* Allows Firefox reading Windows certificates */
pref("security.enterprise_roots.enabled", true); eingefügt. Dies hat auch super funktioniert, bis jetzt das Update auf Firefox 68.0.2 kam, seitdem, scheint Firefox dies zu ignorieren und bringt den Fehler Fehlercode: SEC_ERROR_BAD_SIGNATURE und bei diesem Fehler, kann man ja nicht einfach das ganze Dauerhaft akzeptieren.
Die Zertifikate sind nicht das Problem, da es mit IE, EDGE, und Chrome funzt, doch die meisten hier nutzen eben Firefox.
Hat zufällig wer das gleiche Problem und ggf. schon eine Lösung?
Wir nutzen unteranderem Zenworks, daher ist es kein Problem irgendwelche Dateien auszutauschen, Registryeinträge zu ändern, oder oder. Lediglich in den GPO´s sind wir eingeschränkt, da wir kein AD haben, wir nutzen eDirectory.
Danke schonmal für eure Ideen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 489328
Url: https://administrator.de/contentid/489328
Ausgedruckt am: 19.11.2024 um 01:11 Uhr
5 Kommentare
Neuester Kommentar
Also der Teil, wo "security.enterprise_roots.enabled" steht bei mir auf true und bei mir kommt das folgende Fenster beim aufrufen des Intranets
Also ist es garnicht möglich, das Ganze zu akzeptieren. Wie gesagt wir haben PC, welche länger nicht aktiv waren, wo noch Firefox 68.0.0 drauf ist, da läuft das Intranet noch und sobald das Firefox-Update auf 68.0.2 durch ist, läuft es nicht mehr. Mozilla, muss da irgendetwas verändert haben, was es verhindert, dass der Windows-Zertifikatsspeicher gelesen wird
Die Pfade
%USERPROFILE%\AppData\Local\Mozilla\Certificates
%USERPROFILE%\AppData\Roaming\Mozilla\Certificates
gibt es bei uns nicht, ich denke es liegt daran, dass wir nicht die Enterprise-Version vom Firefox nutzen, oder kann ich die Einfach anlegen?
Also ist es garnicht möglich, das Ganze zu akzeptieren. Wie gesagt wir haben PC, welche länger nicht aktiv waren, wo noch Firefox 68.0.0 drauf ist, da läuft das Intranet noch und sobald das Firefox-Update auf 68.0.2 durch ist, läuft es nicht mehr. Mozilla, muss da irgendetwas verändert haben, was es verhindert, dass der Windows-Zertifikatsspeicher gelesen wird
Die Pfade
%USERPROFILE%\AppData\Local\Mozilla\Certificates
%USERPROFILE%\AppData\Roaming\Mozilla\Certificates
gibt es bei uns nicht, ich denke es liegt daran, dass wir nicht die Enterprise-Version vom Firefox nutzen, oder kann ich die Einfach anlegen?
Guten Morgen 
Irgendetwas hat sich sicher geändert, denn auch das ADMX-Template ist aktualisiert worden: https://github.com/mozilla/policy-templates/releases. Darin (schon ewig) enthalten auch die Option, den Windows-Zertifikatspeicher zu nutzen.
Ansonsten lassen sich in Firefox mit dem pk12util Zertifikate problemlos automatisiert importieren.
Gruß
Hubert
Irgendetwas hat sich sicher geändert, denn auch das ADMX-Template ist aktualisiert worden: https://github.com/mozilla/policy-templates/releases. Darin (schon ewig) enthalten auch die Option, den Windows-Zertifikatspeicher zu nutzen.
Ansonsten lassen sich in Firefox mit dem pk12util Zertifikate problemlos automatisiert importieren.
Gruß
Hubert
Hallo,
ich fasse es mal kurz zusammen, alles läuft doch darauf hinaus, dass man die Option
"security.enterprise_roots.enabled" auf "true" setzt und dann soll Firefox den Windows-Zertifikatsspeicher nutzen, da diese Option jedoch schon eine Zeitlang ab Werk auf true steht, ist eigentlich kein Eingriff notwendig, jedoch habe ich es ja doch gemacht, zur Sicherheit, was auch funktioniert hatte, bis zum Update auf 68.0.2, die Option steht laut "about:config" auch immer noch auf true.
Man kann es über die
- about:config
- GPO
- trustwincerts.js
- ...
tun, das Ergebnis soll immer das gleiche sein, die Option steht auf "true"
Es scheint fast so, als greift Firefox seit dem Update nicht mehr auf den Windows-Zertifikatsspeicher zu (Soll das eventuell so?)
@Hubert.N
dieses pk12util, muss man das extra herunterladen, oder wo ist das dabei, denn bei mir meint die CMD und die Powershell, sie kennen es nicht
ich fasse es mal kurz zusammen, alles läuft doch darauf hinaus, dass man die Option
"security.enterprise_roots.enabled" auf "true" setzt und dann soll Firefox den Windows-Zertifikatsspeicher nutzen, da diese Option jedoch schon eine Zeitlang ab Werk auf true steht, ist eigentlich kein Eingriff notwendig, jedoch habe ich es ja doch gemacht, zur Sicherheit, was auch funktioniert hatte, bis zum Update auf 68.0.2, die Option steht laut "about:config" auch immer noch auf true.
Man kann es über die
- about:config
- GPO
- trustwincerts.js
- ...
tun, das Ergebnis soll immer das gleiche sein, die Option steht auf "true"
Es scheint fast so, als greift Firefox seit dem Update nicht mehr auf den Windows-Zertifikatsspeicher zu (Soll das eventuell so?)
@Hubert.N
dieses pk12util, muss man das extra herunterladen, oder wo ist das dabei, denn bei mir meint die CMD und die Powershell, sie kennen es nicht
Hallo,
ich habe jetztnochmal alles zerpflückt und die Zertifikate komplett auf Unterschiede kontrolliert, nach dem auch das Update auf FF 69.0 keine Abhilfe brachte.
Und was soll ich sagen, ich habe einen Unterschied gefunden, jedoch glaube ich fast nicht, dass es so einen Unterschied macht.
Achso, ich habe einen anderen Server mit Weboberfläche gefunden, welcher sein Zertifikat auch von unserer Root-CA hat, welcher im FF läuft.
Und zwar ist der Unterschied beim Antragsteller, hier ist das "O" anders
Links das vom Server welcher nicht im FF läuft, rechts das vom Server welcher im FF läuft
Der Aussteller ist aber wieder identisch
Kann es sein, dass FF in diese Richtung gegangen ist und auch dies abgleicht?
ich habe jetztnochmal alles zerpflückt und die Zertifikate komplett auf Unterschiede kontrolliert, nach dem auch das Update auf FF 69.0 keine Abhilfe brachte.
Und was soll ich sagen, ich habe einen Unterschied gefunden, jedoch glaube ich fast nicht, dass es so einen Unterschied macht.
Achso, ich habe einen anderen Server mit Weboberfläche gefunden, welcher sein Zertifikat auch von unserer Root-CA hat, welcher im FF läuft.
Und zwar ist der Unterschied beim Antragsteller, hier ist das "O" anders
Der Aussteller ist aber wieder identisch
Kann es sein, dass FF in diese Richtung gegangen ist und auch dies abgleicht?
