Le modèle « Enterprise » n’existe pas ou n’a pas été approuvé.
Si votre organisation utilise des autorités de certification (AC) privées pour délivrer des certificats pour vos serveurs internes, les navigateurs comme Firefox sont susceptibles d’afficher des erreurs, à moins que vous ne les configuriez pour qu’ils reconnaissent ces certificats privés. Il faut que cela soit fait suffisamment tôt pour que vos utilisateurs et utilisatrices n’aient pas de souci pour accéder à ces sites web.
Vous pouvez ajouter les certificats de ces AC par l’une des méthodes suivantes.
Table des matières
Utilisation de stratégies pour importer les certificats des AC (recommandé)
À compter de la version de Firefox 64, une stratégie d’entreprise peut s’utiliser pour ajouter des certificats d’AC à Firefox.
- Paramétrer la clé ImportEnterpriseRoots à true amène Firefox à se fier aux certificats racines. Nous recommandons cette option pour donner la confiance de Firefox à une infrastructure à clés publiques (PKI) privée. C’est équivalent au paramétrage de la préférence security.enterprise_roots.enabled tel qu’il est décrit plus bas dans la section Utilisation de la prise en charge intégrée de Windows et macOS.
- La clé Install cherche par défaut des certificats dans les emplacements énumérés ci-dessous. À compter de la version 65 de Firefox, vous pouvez spécifier un chemin pleinement qualifié (voir cert3.der et cert4.pem dans cet exemple). Si Firefox ne trouve rien en suivant votre chemin pleinement qualifié, il cherche dans les répertoires par défaut :
- Windows
- %USERPROFILE%\AppData\Local\Mozilla\Certificates
- %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
- macOS
- /Library/Application Support/Mozilla/Certificates
- ~/Library/Application Support/Mozilla/Certificates
- Linux
- /usr/lib/mozilla/certificates
- /usr/lib64/mozilla/certificates
- Windows
Utilisation de la prise en charge intégrée de Windows et macOS
Paramétrer la préférence security.enterprise_roots.enabled à la valeur true dans la page about:config active la prise en charge de la racine de l’entreprise par Windows ou macOS.
Prise en charge de l’entreprise sous Windows
À compter de la version 49, Firefox peut être configuré pour rechercher automatiquement des AC, ajoutées au magasin de certificats de Windows dans le cadre de l’utilisation ou de l’administration, et les importer.
- Saisissez about:config dans la barre d’adresse de Firefox, puis appuyez sur EntréeRetour
Une page d’avertissement peut apparaître. Cliquez sur pour accéder à la page about:config. - Rechercher la préférence security.enterprise_roots.enabled
Cliquez sur le bouton Inverser à côté de la préférence pour passer sa valeur à true
- Redémarrez Firefox.
Firefox inspecte alors l’emplacement du registre HKLM\SOFTWARE\Microsoft\SystemCertificates (qui correspond au drapeau CERT_SYSTEM_STORE_LOCAL_MACHINE de l’API) pour des AC reconnues comme fiables pour délivrer des certificats pour l’authentification de serveurs web par TLS. Toutes ces AC sont importées par Firefox et sont considérées fiables, bien qu’il soit possible qu’elles ne figurent pas dans le gestionnaire de certificats de Firefox. L’administration de ces AC devrait se faire par l’utilisation des outils intégrés à Windows ou par des utilitaires tiers.
Firefox version 52 : Firefox cherche également dans les emplacements du registre HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates et HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (qui correspondent respectivement aux drapeaux CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY et CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE).
Prise en charge de l’entreprise sous macOS
À compter de la version 63 de Firefox, cette fonctionnalité est également valable pour macOS par l’importation des AC racines trouvées dans le chaînage des clés du système macOS.
Linux
Utilisation de p11-kit-trust.so sous Linux
Des certificats peuvent être importés par programmation en utilisant p11-kit-trust.so de p11-kit (notez que des distributions, telles celles basées sur Red Hat, le font déjà par défaut en intégrant p11-kit-trust.so comme libnsscbki.so).
Cela peut se faire en configurant la stratégie SecurityDevices dans /etc/firefox/policies/policies.json pour y ajouter une entrée pointant vers l’emplacement de p11-kit-trust.so dans le système, en l’ajoutant manuellement via le gestionnaire des périphériques de sécurité dans les paramètres, ou en utilisant l’utilitaire modutil.
Préchargement des bases de données de certificats (uniquement pour les nouveaux profils)
Des personnes créent un nouveau profil dans Firefox, installe manuellement les certificats dont ils ont besoin, puis distribuent les différents fichiers .db (cert9.db, key4.db and secmod.db) dans de nouveaux profils par cette méthode. Il ne s’agit pas de l’approche recommandée, et, de plus, cette méthode fonctionne uniquement pour de nouveaux profils.
Certutil
Vous pouvez utiliser certutil pour mettre à jour les bases de données de certificats de Firefox par la ligne de commande. Consultez le site d’assistance de Microsoft ou la page de manuel de certutil pour davantage d’informations.