Depuis Firefox 49, il existe une prise en charge des certificats d'autorité de certification Windows et une prise en charge des certificats racine d'entreprise fournis par Active Directory depuis Firefox 52. Il est également pris en charge dans macOS pour lire à partir du trousseau depuis la version 63.
Depuis Firefox 68, cette fonctionnalité est activée par défaut dans la version ESR (entreprise), mais pas dans la version rapide (standard).
Vous pouvez activer cette fonctionnalité pour Windows et macOS en about:config
créant cette valeur booléenne:
security.enterprise_roots.enabled
et réglez-le sur true
.
Pour GNU / Linux, ceci est généralement géré par p11-kit-trust et aucun indicateur n'est nécessaire.
Déploiement du système de configuration à l'échelle
Depuis Firefox 64, il existe un moyen nouveau et recommandé d'utiliser des politiques, documenté à https://support.mozilla.org/en-US/kb/setting-certificate-authorities-firefox
Pour les versions héritées, le dossier d'installation de Firefox peut être récupéré à partir du registre Windows, puis accédez au defaults\pref\
sous-répertoire et créez un nouveau fichier avec les éléments suivants:
/* Allows Firefox reading Windows certificates */
pref("security.enterprise_roots.enabled", true);
Enregistrez-le avec l' .js
extension, par exemple trustwincerts.js
et redémarrez Firefox. L'entrée apparaîtra about:config
pour tous les utilisateurs.
Déploiement de certificats Windows à l'échelle du système
Dans Firefox de 49 à 51, il ne prend en charge que le magasin "Root". Depuis Firefox 52, il prend en charge d'autres magasins, y compris ceux ajoutés à partir du domaine via AD.
C'est un peu hors de portée mais explique qui était le seul magasin de certificats pris en charge par Firefox pour les versions 49 à 51 ou juste pour les tests locaux. Parce que cela se déploie pour tous les utilisateurs de la machine locale, il nécessite des privilèges d'administrateur dans votre fenêtre CMD / PowerShell ou dans votre propre script de déploiement automatisé .:
certutil -addstore Root path\to\cafile.pem
Cela peut également être fait à partir de la console de gestion en cliquant sur un grand nombre de fenêtres si vous préférez la souris ( Comment: afficher les certificats avec le composant logiciel enfichable MMC ).