Active Directory - Grup politikası ile "Mozilla Firefox'un Bilgisayarın Sertifika Deposunu kullanmasını sağlamak"

Merhaba,

Şirketlerde, kullanıcı bilgisayarlarının internet erişimlerinde oluşan tüm trafiği analiz edebilmek için Güvenlik Duvarı üzerinde kriptolu olan SSL trafiğinin açılması (decrypt) gerekli olmaktadır. Bu sayede tüm trafiğin analiz edilebilmesi ve varsa zararlıların engellenebilmesi mümkün olabilmektedir. Bunun için Güvenlik duvarına ait olan CA sertifikasının kullanıcı bilgisayarlarına yüklenmesi (import) gerekmektedir. Kullanıcı bilgisayarlarında sertifika ile ilgili bir güvenlik uyarısının oluşmaması için bu işlem gerekli olmaktadır. İnternet explorer ve Google Chrome programları bilgisayarın sertifika havuzunu kullanıyor olmasına rağmen, Mozilla Firefox'un da kullanabilmesi için aşağıdaki işlemlerin yapılması gerekmektedir.

Bu ayarlama, yeni sürüm (51 ve sonrası) Mozilla Firefox uygulamalarda çalışmaktadır. Öncelikle eski sürüm varsa güncellenmesi gerekmektedir. Bir nedenle eski sürüm kullanılması gerekiyorsa, manuel olarak ilgili sertifika Mozilla Firefox'a yüklenebilir.

Tek bir bilgisayarda bulunan Mozilla Firefox programında aşağıdaki ayarlar manuel olarak da yapılabilir:

1) Adres satırına 'about:config' yazılır.
2) Gelen uyarı kabul edilir.
3) Mouse sağ tuşu ile yeni bir "boolean value" oluşturulur ve bu değere "security.enterprise_roots.enabled" adı verilir.
4) Oluşturulan bu değişken değeri "true" olarak ayarlanır.
 

local-settings.js dosyası oluşturulur. İçeriği aşağıdaki şekilde olmalıdır:  
pref("general.config.obscure_value", 0); pref("general.config.filename", "umbrella.cfg");  

umbrella.cfg dosyası oluşturulur. İçeriği aşağıdaki şekilde olmalıdır: 

// lockPref("security.enterprise_roots.enabled", true);

Not : Bu dosyalar oluşturulurken ANSI kodlaması ile oluşturulmalıdır.

Şirket bünyesinde bir domain (active directory) yapısı bulunuyor ise bu işlem, tüm domaine katılmış olan bilgisayarlarda aşağıdaki şekilde grup poliçesi (group policy) yardımıyla otomatik olarak gerçekleştirilebilmektedir:

Grup poliçesi olarak dağıtımı: 

1) umbrella.cfg' ve 'local-settings.js dosyaları bilgisayarların erişebileceği bir network paylaşımına konur (örneğimizde \\sunucu-1\paylas)

2) Yeni grup poliçesi oluşturulur ve aşağıdaki bölüm ayarlanır:

3) 'Computer Configuration > Preferences > Windows Settings > Files' Mouse sağ tuş ile "New File" seçilir ve 'Source File' --> network üzerindeki \\sunucu-1\paylas\umbrella.cfg gösterilir. 

'Destination' file --> C:\Program Files\Mozilla Firefox\umbrella.cfg seçilir ve kaydedilir.

4) 'Source File' --> network üzerindeki \\sunucu-1\paylas\umbrella.cfg gösterilir. 

'Destination' file --> C:\Program Files (x86)\Mozilla Firefox\umbrella.cfg seçilir ve kaydedilir.

5)Yukarıdaki adımlar, local-settings.js dosyası için "C:\Program Files\Mozilla Firefox\defaults\pref\local-settings.js" ve "C:\Program Files (x86)\Mozilla Firefox\defaults\pref\local-settings.js" için ayrı ayrı olacak şekilde ayarlanır.

6) AD sunucu üzerinde cmd ile komut satırı açılarak "gpupdate /force" komutu çalıştırılır.

7) Bilgisayarlar bir süre sonra grup poliçesini alacak ve Mozilla tarayıcı programı ile sorunsuz olarak SSL sitelere bağlanacaktır.