Selbstsigniertes Zertifikat akzeptieren

  • Hallo liebe Experten,

    mich plagt im Moment eine Frage zu einem altbekannten Thema, bei dem ich aber einfach keine "schlüssigen" Antworten finden kann und mir Hilfe erhoffe.
    Wir haben in der Firma eine Domäne (sagen wir firma.de), für die wir uns ein selbstsigniertes Zertifikat erstellt haben (*.firma.de). Dieses wurde mittels AD an alle Clients verteilt, wodurch IE und Firefox anstandslos HTTPS Verbindungen zu internen Linux-Servern (die das Zertifikat auch installiert haben) akzeptieren. Sehr brav!
    Nun hat Firefox ja seine eigene Zertifikatsverwaltung. Also habe ich unser Serverzertifikat von crt nach pem konvertiert und mittels certutil.exe in die Firefox Zertifikatsdatenbank importiert:

    Code
    certutil.exe -A -n „MeineFirma“ -i C:\Users\test\pfad\server.pem„ -t „cTC,cTC,cTC“ -d „C:\Users\test\Anwendungsdaten\Mozilla\Firefox\Profiles\0yke6h4y.default“.


    Das hat prima geklappt, das Zertifikat taucht unter "Zertifizierungsstellen" auf, das Häkchen [x]Zertifikat darf Webseiten identifizieren ist gesetzt.

    Wenn ich nun eine "interne" Webseite aufrufe (z.B. https://forum.firma.de), erscheint aber trotzdem die Sicherheitswarnung:
    Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde. (mozilla_pkix_error_ca_cert_used_as_end_entity)

    Nun frage ich mich natürlich wieso? Ja, das Zertifikat wurde selbst signiert, aber ich habe es dich als "vertrauenswürdig" importiert, wie kann ich verhindern dass die Meldung erscheint? Sinn der Sache ist doch, dass die User nicht wieder blind auf "Ausnahme hinzufügen" klicken müssen, und sich daran gewöhnen.
    Ganz ohne Zertifikat: sec_error_unknown_issuer
    Mit Zertifikat: mozilla_pkix_error_ca_cert_used_as_end_entity

    Was habe ich nicht beachtet? Würde mich über Hilfe bei diesem (leidigen) Thema freuen :)