Importieren der CA in Firefox

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Install

Datei

Datei:Firefox-ca.sh

Systemweit

Firefox Enterprise Policies unter Debian

Quick Info
Config File /etc/firefox/policies/policies.json
Policy Key ImportEnterpriseRoots
Status about:policies

Dieser Artikel beschreibt die korrekte Implementierung von Enterprise Policies unter Debian GNU/Linux. Ziel ist es, systemweite Root-Zertifikate automatisch in Mozilla Firefox und Thunderbird zu importieren.

Problemstellung

Standardmäßig ignoriert Firefox den System-Trust-Store von Debian (`/usr/local/share/ca-certificates/`). Manuelle Importe pro Benutzerprofil sind in professionellen Umgebungen nicht skalierbar. Oft meldet der Browser unter about:policies den Status "Inactive" oder "No policies enabled", obwohl Konfigurationsdateien vorhanden sind.

Konfiguration (policies.json)

Pfadstrategie

Unter Debian (insbesondere bei Verwendung von firefox-esr) hat der Pfad in `/etc/` Vorrang vor den Verzeichnissen unter `/usr/`.

  • Primärer Pfad: `/etc/firefox/policies/policies.json`
  • Alternativer Pfad: `/usr/lib/firefox-esr/distribution/policies.json`

Quelltext

Die JSON-Struktur muss zwingend mit dem "policies"-Objekt beginnen. 

{
  "policies": {
    "Certificates": {
      "ImportEnterpriseRoots": true
    }
  }
}

Implementierung

  1. Verzeichnis erstellen:
    sudo mkdir -p /etc/firefox/policies
  2. Konfiguration schreiben:
    echo '{"policies": {"Certificates": {"ImportEnterpriseRoots": true}}}' | sudo tee /etc/firefox/policies/policies.json
  3. Berechtigungen anpassen:
    sudo chmod 644 /etc/firefox/policies/policies.json
  4. Prozesse neu starten:
    pkill -9 firefox

Validierung

  • Öffnen der URL about:policies im Browser.
  • Der Status muss Active (Grün) sein.
  • Unter dem Reiter Aktiv muss die Tabelle den Eintrag ImportEnterpriseRoots : true listen.

Fehlerbehebung (Debugging)

Status "Active but no policies enabled"
Firefox findet die Datei, kann das JSON aber nicht parsen.
  • Prüfe auf fehlende Klammern oder Anführungszeichen.
  • Nutze die Browser-Konsole (Strg + Umschalt + J) für detaillierte Fehlermeldungen der EnterprisePolicies-Engine.
Status "Inactive"
Der Pfad ist falsch oder die Dateirechte verhindern den Lesezugriff durch den Firefox-Prozess.
Seite weiterhin "Not Secure"
Wenn die Policy aktiv ist, aber die Seite rot bleibt, liegt ein Fehler im Zertifikat vor:
  • SAN (Subject Alternative Name): Moderne Browser ignorieren den Common Name (CN). Das Feld subjectAltName ist zwingend erforderlich.
  • CA-Flag: Das Root-Zertifikat muss die Extension Basic Constraints: CA:TRUE besitzen.
  • Laufzeit: Zertifikate mit einer Gültigkeit von über 398 Tagen werden von Mozilla oft abgelehnt.

Übertragung auf Thunderbird

Für Thunderbird kann die identische Datei verwendet werden: sudo mkdir -p /usr/lib/thunderbird/distribution sudo cp /etc/firefox/policies/policies.json /usr/lib/thunderbird/distribution/policies.json

Abgerufen von „http://wiki.ixheim.de/index.php?title=Importieren_der_CA_in_Firefox&oldid=67324