SSL-Zertifikate unter Debian systemweit installieren?

nicohaase

Moin,
auf einem System mit mehreren Benutzern würde ich gerne ein Root-Zertifikat für alle Nutzer installieren. Laut http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316436 nutzt Firefox nicht die Standard-Vorgehensweise dafür - wie schaff ich das anders?
Grüße
Nico

junghans2805

Zitat von nicohaase

Laut http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316436 nutzt Firefox nicht die Standard-Vorgehensweise dafür

Du hast aber schon gesehen, dass diese ganze Diskussion schon über zwei Jahre alt ist? Und: schon mal im Debian-Forum gefragt?

boardraider

Existieren die Benutzer schon oder soll das für zukünftige sein?

nicohaase

Zitat von boardraider

Existieren die Benutzer schon oder soll das für zukünftige sein?

Beides Problemfall ist folgender: Es geht um den gemeinsamen Computer einiger Studenten. Deren Uni hat nun neue Zertifikate ausgestellt, deren CA noch nicht in der Standarddistribution enthalten ist. Somit gibts aktuell eine Fehlermeldung, die jeder wegklicken muss.

.Ulli

Du müsstest das Zertifikat nach /usr/share/ca-certificates kopieren/importieren.

Lies mal hier http://wiki.ubuntuusers.de/CA?highlight=c…kat-importieren

Habe aber keine Erfahrung damit.

boardraider

Wieso lässt du die Studenten das Zertifikat nicht selbst importieren? Sind für jeden nur ein paar kurze Klicks.

Für neue Profile:
Leg ein frisches Profil an und importiere das Zertifikat. Anschließend kopierst du die cert8.db und die key3.db nach /$firefoxinstallationspfad/defaults/profile
Wenn neue Profile von dort abgeleitet werden, ist das Zertifikat bereits vorinstalliert. Das Profil zum Erzeugen der Dateien kannst du im Anschluss löschen.

nicohaase

Zitat von .Ulli

Du müsstest das Zertifikat nach /usr/share/ca-certificates kopieren/importieren.
Lies mal hier http://wiki.ubuntuusers.de/CA?highlight=c…kat-importieren

Genau das geht nicht, weil Iceweasel nicht auf den Standard-Zertifikatspeicher zugreift. Deshalb suche ich nach einer anderen Möglichkeit.
Boardraider, deine Möglichkeit für neue Konten gefällt mir, das übernehmen wir.

boardraider

Eine andere Möglichkeit für bestehende Profile wäre ggf. ein Erweiterung, die den Import automatisiert. Diese kann global installiert werden. User, die ein Masterpasswort gesetzt haben, werden dieses dazu eingeben müssen.

boardraider

Was mir noch einfiele:
Man könnte die User dazu "zwingen" den Import-Dialog durchzuführen.

https://developer.mozilla.org/en/NSS_Certifi…ozilla_browsers
Das Zertifikat über einen URL mit mimetype application/x-x509-ca-cert zugreifbar machen.

Dann durch die Profile iterieren und jeweils in der prefs.js die Werte für
http://kb.mozillazine.org/Startup.homepage_override_url
http://kb.mozillazine.org/Browser.startu…override.mstone
setzen, dass der User beim nächsten Start auf den URL verwiesen wird.

Dr. Evil

das geht mit dem CCK Wizard:
https://addons.mozilla.org/de/firefox/addon/2553