Šablona "Enterprise" neexistuje nebo nemá schválenou verzi.
Pokud vaše organizace k vydávání certifikátů pro interní servery používá soukromé certifikační autority, mohou prohlížeče, jako je Firefox, zobrazovat chyby, pokud je nenakonfigurujete tak, aby tyto soukromé certifikáty rozpoznávaly. To je třeba provést již na samém počátku, aby uživatelé neměli problémy s přístupem k webovým stránkám.
Tyto certifikáty lze přidat jedním z následujících způsobů.
Použití pravidel pro import certifikátů (doporučeno)
Počínaje verzí Firefoxu 64 lze k přidání certifikátů do Firefoxu použít pravidlo.
- Nastavení klíče ImportEnterpriseRoots na hodnotu true způsobí, že bude Firefox důvěřovat kořenovým certifikátům. Tuto možnost doporučujeme pro přidání důvěryhodnosti soukromého PKI do Firefoxu. Je ekvivalentní nastavení předvolby security.enterprise_roots.enabled, jak je popsáno v kapitole Zabudovaná podpora systémů Windows a macOS níže.
- Klíč Install ve výchozím nastavení vyhledá certifikáty v níže uvedených umístěních. Od verze Firefoxu 65 je možné zadat absolutní cestu (viz cert3.der a cert4.pem v tomto příkladu ). Pokud Firefox na absolutní cestě nic nenajde, bude prohledávat výchozí adresáře:
- Windows
- %USERPROFILE%\AppData\Local\Mozilla\Certificates
- %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
- macOS
- /Library/Application Support/Mozilla/Certificates
- ~/Library/Application Support/Mozilla/Certificates
- Linux
- /usr/lib/mozilla/certificates
- /usr/lib64/mozilla/certificates
- Windows
Použití zabudované podpory systémů Windows a macOS
Nastavením předvolby security.enterprise_roots.enabled na hodnotu true v about:config zapnete podporu firemních kořenových certifikátů systému Windows a macOS.
Firemní podpora systému Windows
Počínaje verzí 49 lze Firefox nakonfigurovat tak, aby automaticky vyhledával a importoval certifikační autority, které do úložiště certifikátů systému Windows přidal uživatel nebo správce.
- Do adresního řádku zadejte about:config a stiskněte klávesu EnterReturn.
Může se zobrazit upozornění. Pokračovat na stránku about:config budete po kliknutí na tlačítko . - Vyhledejte předvolbu security.enterprise_roots.enabled na hodnotu true.
- Klikněte u této předvolby na tlačítko Přepnout pro změnu její hodnoty na true.
- Restartujte Firefox.
Firefox provede kontrolu umístění registru HKLM\SOFTWARE\Microsoft\SystemCertificates (odpovídající API příznaku CERT_SYSTEM_STORE_LOCAL_MACHINE) na přítomnost certifikačních autorit, které jsou důvěryhodné k vydávání certifikátů pro ověřování TLS webových serverů. Všechny takové certifikační autority budou importovány a Firefox jim bude důvěřovat, i když se nemusí zobrazit ve správci certifikátů Firefoxu. Správa těchto certifikačních autorit by měla probíhat pomocí nástrojů zabudovaných ve Windows nebo pomocí jiných nástrojů třetích stran.
Verze Firefoxu 52: Firefox bude také prohledávat umístění registrů HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates a HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (odpovídající API příznakům CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY a CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE).
Firemní podpora systému macOS
Počínaje Firefoxem 63 funguje tato funkce také pro systém macOS, a to tak, že importuje kořenové certifikáty nalezené v systémovém svazku klíčů systému macOS.
Linux
Použití modulu p11-kit-trust.so v Linuxu
Certifikáty lze programově importovat pomocí modulu p11-kit-trust.so z nástroje p11-kit (upozorňujeme, že některé distribuce, například distribuce založené na systému Red Hat, to již dělají ve výchozím nastavení a dodávají modul p11-kit-trust.so jako libnsscbki.so).
To lze provést nastavením pravidla SecurityDevices v souboru /etc/firefox/policies/policies.json a přidáním položky ukazující na umístění modulu p11-kit-trust.so v systému, ručním přidáním pomocí správce „Bezpečnostní zařízení“ v Předvolbách nebo pomocí nástroje modutil.
Přednačtení databází certifikátů (pouze nové profily)
Někteří lidé si ve Firefoxu vytvoří nový profil, ručně nainstalují potřebné certifikáty a poté touto metodou distribuují různé db soubory (cert9.db, key4.db a secmod.db) do nových profilů. Tento postup se nedoporučuje a tato metoda funguje pouze pro nové profily.
Certutil
Nástroj certutil lze použít k aktualizaci databází certifikátů Firefoxu z příkazového řádku. Další informace naleznete na stránkách podpory společnosti Microsoft.