Citrix XenApp XenDesktop & Etc

Citrix製品についてあれやこれやと

FirefoxとOSの証明書ストア

2017年05月17日 | Windowsのこと

最近のFirefox(Windows版)は、OSが管理している証明書ストアをそのまま利用できるそうです。
少し前までは独自に管理されたデータベースを利用していたのですが・・・。
[security.enterprise_roots.enabled]を作成し[true]をセットすれば利用できるみたいな
事が色々と公開されていました。

企業で社員がインターネットを利用する場合、接続先などをチェックしたりフィルタリングを
利用するためにProxyを利用するのが一般的です。
ここで問題になるのがSSLで接続された通信は接続先や送信情報が暗号化されているので
有事の際に管理者は内容を確認できません。

それに対応するために「SSL代理証明書」を利用するProxyが販売されています。
「SSL代理証明書」を利用できる製品ではHTTPSの通信内容をそのまま確認できます。
利用する側からすると少々怖いですね。
「SSL代理証明書」を利用する場合には、クライアントへ専用のルート証明書を
「信頼されたルート証明書」として導入する必要があります(この証明書を入れないと
「信頼されていない証明書」としてブラウザに警告が表示されます)。

数台のクライアントクライアントだけであれば1台ずつ証明書を導入するか、ユーザ個々で
導入すれば済みますが数百台、数千台の端末を利用していればグループポリシーで
証明書を端末に配ります。
Internet Explorerは当然のことながら問題なく利用できます。
Google Chromeも証明書の扱いはInternet Explorerと同じなので問題なく利用できます。
FirefoxもOSで利用している証明書が使えるようになったので当然OKと思っていたのですが
ここで落とし穴が。
Firefoxではグループポリシーで配った証明書が利用できません。OSが利用している証明書が
使えるようになったのに。

色々と調べてみたのですが、OSが管理している証明書を利用するにはお約束があるよです。
詳しくは「https://msdn.microsoft.com/en-us/library/windows/desktop/aa388136(v=vs.85).aspx」
で説明されていますので確認してください。

最新のFiefox(50.10)を確認すると「CERT_SYSTEM_STORE_LOCAL_MACHINE」が設定されていました。
この場合参照するレジストリは「HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates」
となりグループポリシーで配布した証明書は含まれていません(ProcmonでレジストリのI/Oをトレースすると
グループポリシーで配布した証明書のレジストリはアクセスしているのですが・・・)

証明書をコンピュータアカウントに対して「信頼されたルート証明機関」->「レジストリ」
へ登録するとFirefoxでも利用できるようになりました。

いつかこの先グループポリシーで配布した証明書も利用できればもう少し楽になるのにと
思った今日この頃です。

CERT_SYSTEM_LOCAL_MACHINE_GROUP_POLICYでアクセスしていればたぶんハマらなかったのに・・・。



コメントを投稿

ブログ作成者から承認されるまでコメントは反映されません。