ComputerBase Menü
Aktuelles

Firefox möchte den Windows Zertifikatsspeicher nicht verwenden!

toxic189

toxic189

Lieutenant
Registriert
Jan. 2012
Beiträge
773
Hallo zusammen,

ich bin seit heute morgen dabei ein Problem zu analysieren und zu beheben bezüglich dem Firefox und dem verwenden des Windows eigenen Zertifikatsspeicher und scheitere, trotz einigen Threads, die sich mit dem Problem beschäftigen.

Was ist das Problem:
Das Problem ist, das ich Zertifikate von einer eigenen CA erstellt und entsprechend in den Windows eigenen Zertifikatsspeicher hinterlegt habe.
Rufe ich die besagte Webseite auf mit Google Chrome oder IE, funktioniert die Webseite ohne eine Zertifikatsmeldung.
Rufe ich diese Seite mit dem Firefox auf, erhalte ich eine Zertifikatsmeldung, das ich ein ungültiges Sicherheitszertifikat verwende.
Logisch, weil der Firefox sein eigenen Zertifikatsspeicher hat und die entsprechende Zertifikate aber nur im Windows eignen Store zu finden sind.

1542889893058.png


Lösungen aus dem Web:
Es gibt eine Möglichkeit, Firefox zu zwingen, den Windows eigenen Zertifikatsspeicher zu verwenden.
Entweder kann man dies direkt im Firefox konfigurieren über "about:config" oder eben direkt über die "pref.js" im jeweiligen Profil des Firefox.

security.enterprise_roots.enabled
1542889804171.png


Das ist der besagte Eintrag, der angepasst werden muss.
Setzt man diesen auf "True", sollte Firefox eigentlich den Windows Zertifikatsspeicher verwenden.
Tut er leider nicht.
Abgesehen davon, ist der Eintrag, ab der Version 53 Standardmäßig auf "True" was mich nun völlig verwirrt.
Denn Firefox, verwendet dennoch seinen eignen Zertifikatsspeicher und kann dieses Zertifikat bzw. die Komplette Zertifikatssrecke nicht finden.


1542890164038.png



Ich könnte die Seite zur Ausnahme hinzufügen oder das Zertifikat herunterladen und Installieren.
Das möchte ich aber nicht, da es einige Personen betrifft und ich das gerne so Lösen wollen würde, wie es eigentlich angedacht war und zwar, dass Firefox den Windows eigenen Zertifikatsspeicher verwendet.


Könnt ihr mir vielleicht weiter helfen?
Bzw. übersehe ich eine Einstellung oder setze ich an einem Falschen Punkt an?
Das Netz ist voll damit, das es eigentlich mit diesem angepassten Eintrag funktionieren sollte.


Ich bin euch wie immer über jeden Hinweis dankbar!


Viele Grüße
Toxic189
 
Kann daran liegen, daß Windows Zertifikate an unterschiedlichen Stellen lagert und Chrome/IE auf eine andere Stelle zugreifen als der Fuchs. Stelle sicher, daß unter HKLM:\SOFTWARE\Microsoft\SystemCertificates\Root\Certificates die notwendigen Zertifikate liegen.

But theres one litte thing to know: Windows have multiple certifiacte stores (places where certificates are stored inside the registry and filesystem). Not only a user store and a machine store there is also a so called enterprise store. Active Directory Group Polices may store their certificates inside the enterprise store, depending on your deployment. Firefox currently only reads the machine store (a.k.a. system store) for validating certificates.

To overcome this limitation I created a small PowerShell snippet that will copy the certificates from the enterprise store into the system / machine store:
Copy-Item HKLM:\SOFTWARE\Microsoft\EnterpriseCertificates\ROOT\Certificates* HKLM:\SOFTWARE\Microsoft\SystemCertificates\Root\Certificates -Recurse

Just put that line into a .ps1 file and let this executed as a computer startup script or using ESD system.
Please note that this needs to executed using administrative credentials or using the local system security context.

Addtional Information
To view the contents of the system store just browse the following registry hive:
HKLM:\SOFTWARE\Microsoft\SystemCertificates\Root\Certificates
Zum Vergrößern anklicken....

https://www.michaelmiklis.de/using-windows-certificate-store-in-mozilla-firefox/

security.enterprise_roots.enabled steht in meiner 63.0.3 übrigens ab Werk auf false.
 
Hi DeusoftheWired,

danke dir für die schnelle Antwort.
Daran habe ich nicht gedacht und werde ich gleich mal Prüfen.

Aktuell sind die Zertifikate hier abgelegt:

1542890909689.png




Grüße
Toxic189
 
Ich glaub ist gibt sogar 3 Ablage-Orte für Zertifikate unter Windows. Sowas ist einfach Murks und du musst dadurch die Zertifikate sowieso mehrfach in Windows importieren. Da bin ich immer froh, dass der Firefox seinen eigenen Zertifikatsstore mitbringt.
 
Helge01 schrieb:
Ich glaub ist gibt sogar 3 Ablage-Orte für Zertifikate unter Windows. Sowas ist einfach Murks und du musst dadurch die Zertifikate sowieso mehrfach in Windows importieren. Da bin ich immer froh, dass der Firefox seinen eigenen Zertifikatsstore mitbringt.
Zum Vergrößern anklicken....


Aber das wären dann aber auf dauer deutlich mehr Aufwand, da man zwei komplett unterschiedliche Zertifikatsspeicher verwalten müsste.
Was hier nicht gewünscht ist :(


cbtestarossa schrieb:
Wenn mich nicht alles täuscht vewaltet FF seine Zertifikate unabhängig vom OS.
Zum Vergrößern anklicken....

Bitte lese dir den Artikel nochmals durch :D
Mir ist bewusst das Firefox einen eigenen Zertifikatsspeicher unabhängig vom OS nutzt, darum geht es im Beitrag von mir ja :D



Grüße
Toxic189
 
Dass Windows 3 Zertifikatsspeicher jeweils nochmal getrennt durch in Benutzer/Computer verwendet ist nicht Schikane, sondern richtig so.

Du hast das Cert von deiner eigenen CA erstellen lassen, die vermutlich dann eine Root CA ist. Dann kommt das aber nicht in den Intermediate Speicher, sondern in den Root Speicher. Firefox verwendet bei der genannten Einstellung ausschließlich den Root Store und ignoriert den Intermediate Store.
Zudem haben (in einer Windows Umgebung) Zertifikate ausschließlich in dem Store zu liegen, in den sie rein gehören.
Ein Root-Cert kommt auch nur in diesen Speicher (Aussteller und Antragsteller gleich)
Ein Intermediate kommt nur in den Intermediate Speicher (Aussteller =! Antragsteller und Antragsteller =! Lokale Maschine, trifft nur auf Sub-CAs zu)
Ein Endbenutzer/Webserver/Whatever Zertifikat (Aussteller =! Antragsteller und Antragsteller = Lokale Maschine) kommt in den Speicher "Eigene Zertifikate".

Wenn deine CA Root ist dann das Zert in den entsprechenden Speicher packen und Firefox sollte diese dann erkennen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: toxic189 und DeusoftheWired
Naja wenn diese Einstellung genau das bewirkt passts doch eh.

Man könnte aber auch hergehen und das Zertifikat herunterladen aber nur temporär verwenden.
Oder man legt es selbst in FF permanent ab.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz