On ajoute notre CA dans les CA trust du système puis pour les Chrome / Chromium on va créer ou mettre à jour le ~/.pki/nssdb/cert9.db et pour Firefox c'est dans ~/.mozilla/firefox/[UUID]/cert9.db c'est à faire dans les home des users.

Les deux insertions se font avec pk12util.

Ce même Ansible tourne régulièrement pour s'assurer que tout est en ordre et va jusqu'à piloter les politiques des navigateurs, déposer les pki internes.

Vous avez comment pour déployer vos PKI dans les navigateurs ? Car ils semblent avoir leur trust-store incorporé. Le seul moyen que j’ai trouvé est Firefox + p11-kit et ainsi faire l’usage de fichier pem.