Quand on génère une autorité de certification et un certificat HTTPS pour un portail interne à notre réseau, une des grosses difficultés est de diffuser le certificat de l’autorité de certification.
La manière la plus évidente est de diffuser via GPO et d’inclure ce certificat racine dans la bibliothèque « Autorité de certification racine de confiance ».
Si vous utilisez Edge ou chrome pas de soucis, ces navigateurs iront piocher dans la librairie de certificat de Windows et l’association certificat web / autorité de certification se fera parfaitement.
Si vous utilisez Firefox, cela ne marchera pas nativement. En effet Firefox possède sa propre librairie et l’intégration de certificat à cette librairie est ardu.
Pour contourner ce phénomène, Mozilla nous conseille de modifier un paramètre de manière à ce que si Firefox ne trouve pas le bon certificat, il fasse déborder sa recherche dans la librairie de Windows.
Modification manuelle de Firefox
Pour permettre d’activer ce débordement nous ouvrirons Firefox, et dans la barre d’adresse nous taperons:
about:config
Nous accepterons les risques pour parvenir à l’écran de recherche.
Nous rechercherons le paramètre « security.enterprise_roots.enabled » que nous passerons à « true« .
Méthode de déploiement automatique avec WAPT
Si vous êtes l’heureux administrateur de la solution WAPT vous pourrez déployer facilement ce paramètre en intégrant le package tis-config-firefox.
Ce dernier déploie en réalité un fichier « policies.json » qui contient un certain nombre de paramétrages, dont la ligne « « ImportEnterpriseRoots »: true« . C’est ce dernier qui permettra le débordement dans la librairie de Windows.
ATTENTION: En déployant ce package tel quel, d’autres paramètres tel que le verrouillage du gestionnaire de mots de passe seront appliqués. Il vous faudra peut être personnaliser ce package avant déploiement. |
Déploiement par GPO des paramètres Firefox.
Parfaitement documenté dans l’article « Configuring Firefox to use Widnows Certificate Store via GPO« , vous pourrez vous baser sur cette documentation pour obtenir le même rendu qu’avec le package WAPT.
Comments are closed