Laden...

IIS mit Zertifikat von Intranet-CA: Firefox hält Verbindung für unsicher

Erstellt von emuuu vor 6 Jahren Letzter Beitrag vor 6 Jahren 1.302 Views
emuuu Themenstarter:in
286 Beiträge seit 2011
vor 6 Jahren
IIS mit Zertifikat von Intranet-CA: Firefox hält Verbindung für unsicher

Guten Tag zusammen,

ich bin gerade dabei meine API & IdentityServer in einem Intranet zu testen. Beide sind via IIS gehostet, wobei ein Zertifikat von der Intranet-CA (welche auch die Active-Directory verwaltet) verwendet wird.

Chrome, IE und Edge haben damit überhaupt kein Problem: Die CA wird akzepziert, das Zertifikat gültig und die Verbindung sicher. Firefox (Quantum 57.0.1) ist allerdings anderer Meinung und sagt "Certificate Issuer Unkown".

Soweit klar, anscheinend hat FF ein Problem mit eigenen Zertifizierungsstellen. Da ich allerdings im Intranet bin kann ich schlecht eine der "offiziellen" CAs benutzen. Es ist auch überhaupt kein Problem, das Zertifikat der CA als Zertifizierungsstelle in FF zu importieren. Schon klappt alles.

Allerdings muss ich dann potenziell für jeden User an jeder Maschine diesen Import per Hand vornehmen, was mir rein vom Prinzip her nach einer schlechten Lösung klingt.

Hat da wer Erfahrungen, ob es da einen eleganteren Weg gibt? Ich mein ich werde ja nicht der erste sein, der eine gesicherte Verbindung im Intranet via Firefox aufrufen möchte. Kann mir darum nicht vorstellen, dass FF eine eigene CA grundsätzlich nur auf diesem Wege akzeptiert.

Vielen Dank und beste Grüße
emuuu

2+2=5( (für extrem große Werte von 2)

16.806 Beiträge seit 2008
vor 6 Jahren

Kein unbekanntes Thema beim FF.
Hättest Du gegoogelt, dann wärst Du schneller auf die Lösung gekommen als diesen Thread erstellt 😉

Chrome und IE greifen auf die Zertifikatsverwaltung von Windows zu. Firefox (per default) nicht.
Firefox hat eine eigene, dem man das Zertifikat (oder die CA) hinzufügen muss.

Alternativ ist, dass man manuell die Settings bearbeitet, denn FF unterstützt AD CAs seit nen paar Versionen.
Setting dazu: security.enterprise_roots.enabled - ist default inaktiv.

Bestimmt gibt es jemand Schlauen im Netz, der das evtl. automatisiert für die EE gemacht hat, zB. mit certutil oder irgendeine Script.
Du findest sicher was.

emuuu Themenstarter:in
286 Beiträge seit 2011
vor 6 Jahren

Firefox hat eine eigene, dem man das Zertifikat (oder die CA) hinzufügen muss.

Genau an dem Punkt war ich durch googlen bereits gekommen 😃 Und das funktioniert soweit auch, nur leider eben per Hand und für jede Maschine und jeden Users einzeln.

Hatte/Habe aber die Hoffnung, dass vielleicht irgendwer einen Workaround hat der es mir erspart einem potenziellen DAU eine Anleitung zu schreiben wie er an seinem Arbeitsplatz die CA hinzufügt. (Ich rede hier von "Verknüpfung auf USB-Stick kopieren und sich dann beschweren, warum sich das nicht am anderen PC öffnen lässt")

Edith:
How to: Firefox: Trust a Local Certificate Authority for All Users and Computers

Scheint auch aktuell noch zu funktionieren (mit etwas Anpassung), ist für meinen DAU-Anwendungsfall aber eher so mittel. Also doch die Anleitung..

2+2=5( (für extrem große Werte von 2)

16.806 Beiträge seit 2008
vor 6 Jahren

Dann spiel ich den Ball zurück: im EE hat ein Firefox nichts zu suchen.
Firefox kann als einziger Browser bis heute nicht zentral über Group Policies verwaltet werden; außer man bastelt Scripte, die jeder Client bei jedem Logon ausführt.

Ansonsten siehe mein Hinweis (und Google!):

Bestimmt gibt es jemand Schlauen im Netz, der das evtl. automatisiert für die EE gemacht hat, zB. mit certutil oder irgendeine Script.
Du findest sicher was.