Instalación automática de autoridades de certificación en Windows 7/8/10, Google Chrome, MS Edge y Firefox

1

Trabajo como informático para una universidad pública federal en Brasil. Las agencias e instituciones gubernamentales tienen que lidiar con muchas aplicaciones obsoletas y una combinación de navegadores para que funcionen.

Por ejemplo: algunas aplicaciones web solo funcionan en Google Chrome debido a un mal diseño y codificación. Otros todavía usan Applets de Java y la combinación de navegador y Java JRE más reciente es Mozilla Firefox 51 y Java 8 update 121. También hay aplicaciones escritas para MS Windows que validan los certificados utilizando las autoridades de certificación instaladas en Windows.

Una cosa en común con la mayoría de las aplicaciones es que necesitan autenticar a los usuarios a través del Certificado A3 (la mayoría de las veces Token USB SafeNet 5100).

Hasta ahora tan bueno. El problema es: nuestro departamento de TI necesita implementar todas las aplicaciones, controladores e instalar los certificados de al menos 33 autoridades de certificación brasileñas utilizando archivos con extensiones p7b y crt , como los que se enumeran aquí:

Archivos de la Autoridad de Certificación

Cada vez que necesitemos reinstalar Windows en una PC o cuando tengamos uno nuevo, tenemos que instalar manualmente cada archivo, uno por uno, una vez en Windows haciendo clic derecho en los archivos y luego haciendo clic en la opción Instalar certificado y luego dentro de la opción de autoridades Mozilla Firefox v51 seleccionando una por una.

Otro problema es que la mayoría de los usuarios usan sus propios portátiles (BYOD). Es deber propio instalar y configurar todos estos certificados.

¿Hay alguna forma, función, programa o script para facilitar las cosas automatizando este proceso de instalación de la autoridad de certificación para Windows, Google Chrome y Mozilla Firefox usando estos archivos p7b y crt ?

Perdimos mucho tiempo haciendo eso manualmente ...

windows ssl certificate trusted-root-certificates adamitj
fuente
1
¿Por qué no crearía una imagen de un sistema después de instalar esos certificados?
Ramhound
Ya usamos imágenes para todas las computadoras donde sea posible. Sin embargo, tenemos que lidiar con BYOD. Algunos usuarios traen sus propios cuadernos al trabajo, y en ese caso las imágenes no pueden aplicarse.
adamitj
Para BYOD, ¿qué pasa con el uso de un sistema de aplicación virtual como Citrix o RemoteApps? La aplicación virtual puede ejecutarse en un sistema con todos los certificados necesarios instalados y verificados y luego puede ejecutarse en CUALQUIER sistema que admita el marco de la aplicación virtual.
music2myear
Tenemos que apegarnos a lo que tenemos hoy. Comprar nuevas tecnologías como las que mencionaste está fuera de discusión. Demasiadas reglas para aplicar, poco dinero para invertir. De hecho, debido a que somos una universidad pública federal limitada al presupuesto del gobierno federal, Y, el presupuesto siempre está disminuyendo con los años ... esto significa que no tenemos opciones.
adamitj

Respuestas:

1

La forma más fácil es importar el certificado en un perfil de muestra de Firefox y luego copiar el cert8.db a los usuarios que desea equipar con el certificado.

Primero importe el certificado manualmente en el perfil de firefox del usuario de muestra. Luego copia

/home/${USER}/.mozilla/firefox/${randomalphanum}.default/cert8.db (Linux/Unix)

%userprofile%\Application Data\Mozilla\Firefox\Profiles\%randomalphanum%.default\cert8.db (Windows)

en los perfiles de firefox de los usuarios. Eso es. Si desea asegurarse de que los nuevos usuarios obtengan el certificado automáticamente, copie cert8.db a:

/etc/firefox-3.0/profile (Linux/Unix)

%programfiles%\firefox-installation-folder\defaults\profile (Windows)
Flecha verde
fuente