Firefox est pas cool concernant la gestion des certificats de masse, même en utilisant FrontMotion c'est la galère.
De notre côté, l'installation d'un CA sous Firefox s'est faite en utilisant des bouts de ce powershell : https://tylerapplebaum.github.io/firefoxpki.html Nous avons opté pour une solution de pure éradication des certificats "installés" par l'utilisateur via GPO puisque nous avons, nous-même, créer un cert8.db qui va écraser ce que l'utilisateur a déjà défini. Il est aussi possible de le placer dans \Program Files\Mozilla\bla bla, pour qu'il soit utilisé automatiquement à la création d'un nouveau profil (pour les postes multi-user par exemple). Sinon, de notre côté on utilise un UTM de Sophos, ça fonctionne plutôt bien, on a juste quelques soucis avec l'authentification transparent via l'AD qui nécessite que l'utilisateur passe par un site en HTTP avant de pouvoir consulter des sites en HTTPS avec les droits qui lui sont nécessaires. Bon courage, Yoan Le sam. 4 juin 2016 à 21:28, Guillaume Tournat <guilla...@ironie.org> a écrit : > Le 04/06/2016 à 03:11, Michel Py a écrit : > > Pas grand chose à se mettre sous la dent cette semaine, juste 2 petits > trolls pas velus. > > > > - A $TAF, un de mes projets est de remplacer le proxy par "mieux" > (entendre : qui nous fait pas chier autant). > > MITM pour le trafic SSL obligatoire, ce qui veut dire installer un > certificat sur le client; s'il y a des lecteurs qui ont de la comprenette > pour installer les certificats sur le client sans trop s'emmerder, je > prends les idées. > > > > > > Le certificat sur le machin MITM est un certificat d'autorité, qui sert > à générer à la volée un certificat par URL consultée. > Pour déployer le dit certificat d'autorité, le plus simple est (en > environnement domaine windows) par une GPO. > > Sinon, s'il existe déjà une PKI interne, où les clients connaissent déjà > la CA interne, le plus simple serait de générer > une sous-autorité pour le MITM, signée par la CA interne. Comme ça, les > clients ont déjà confiance. > > Après, pour les browsers, IE et Chrome utilisent le magasin de > certificats Windows, donc la GPO est utile. > Firefox par contre utilise son propre magasin de certificat, et là je ne > connais pas de méthode pour lui ajouter > un certificat à grande échelle. Si quelqu'un a cela ? > > Enfin, parmi les MITM, plusieurs options qui fonctionnent bien parmi > celles que je connais : > - proxy explicite comme TrendMicro IWSVA > - proxy transparent sur le firewall Fortinet (FortiGate) > > > a+ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- -- Yoan AGOSTINI --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
