Buch erstellen
 Diese Seite zum Buch hinzufügen
Buch erstellen
 Diese Seite aus Buch entfernen  

 Buch anzeigen, ändern(0 Seite/n)
 Hilfe

Dies ist eine alte Version des Dokuments!

Eigene CA bauen und Zertifikate ausrollen

Das ganze funktioniert erst ab Firefox 65. FIXME 

apt install libnss3-tools

Zertifikat anzeigen lassen: 

openssl x509 -in /etc/ldap/ssl/01cacert.pem -noout -text

Auflisten aller Zertifikate im globalen CA-Speicher von Java: 

keytool -list -keystore /etc/ssl/certs/java/cacerts

Firefoxcertifikate anzeigen lassen: 

NSS_DEFAULT_DB_TYPE="sql" certutil -d ~/.mozilla/firefox/*.default -L

Firefoxcertifikat hinzufügen: 

certutil -A -d sql:$HOME/.mozilla/firefox/2gjkcvvk.default  -i cacert.pem -n "tux.at Wildcard Selfsigned from ITEAS IT Services" -t TCP,TCP,TCP

Firefoxcertifikat löschen: 

certutil -D -d sql:$HOME/.mozilla/firefox/2gjkcvvk.default  -i cacert.pem -n "tux.at Wildcard Selfsigned from ITEAS IT Services" -t TCP,TCP,TCP

CA Zertifikat in Chrome/Chromium importieren 

ertutil -d sql:$HOME/.pki/nssdb -A -n '' -i cacert.pem -t TCP,TCP,TCP

Policies in Firefox

Mit einem File ist es möglich sämtlich Dinge wie Berechtigungen, fixe Bookmarks und vieles vieles mehr dem System für alle Benutzer vor zu geben. Man kann Dinge Sperren, und auch Zertifikate ausrollen. Zertifikate funktionieren mit fully qualified path erst ab Firefox Version 65. Das gilt auch für Windows.

Beispielfile, Syntax getestet auf KDE Neon 18.04 LTS

cat /usr/lib/firefox/distribution/policies.json
policies.json
{
 
 "policies": {
   "BlockAboutAddons": true,
   "BlockAboutConfig": true
 }
}

Beispiel zwei, mit Zertifikat:

policies.json
{
 
 "policies": {
   "BlockAboutAddons": true,
   "BlockAboutConfig": true,
      "Certificates": {
      "ImportEnterpriseRoots": true,
      "Install": ["/usr/local/share/ca-certificates/osit.cc-wildcard-selfsigned-cacert.crt"]
    }
 }
}

Man kann auch Zertifikate in dem Verzeichnis des Benutzers ablegen ~/.mozilla/certificates. Diese werden dann ohne den gesamten Pfad unter „Install“ vermerkt und auch automatisch installiert. Der globale Zertifikatsordner von Firefox in Ubuntu /usr/share/ca-certificates/mozilla funktioniert aus unverfindlichen Gründen nicht. Daher die Empfehlung immer den fully qualified path verwenden.

Beispielfile, Syntax getestet auf Windows 10

cat C:\Program Files\Mozilla Firefox\distribution\policies.json
policies.json
{
 
 "policies": {
   "BlockAboutAddons": true,
   "BlockAboutConfig": true,
      "Certificates": {
      "ImportEnterpriseRoots": true,
      "Install": ["C:\\Company\\bla.crt", "bla.crt"]
    }
 }
}

Auch hier gibt es zwei Möglichkeiten. Einmal ein fully qualified path, oder im Ordner C:\Program Files\Mozilla Firefox\distribution\certificates. Auch hier funktioniert das erst ab Firefox Version 65.

Links