Compare Revisions
Firefox で認証局 (CA) をセットアップする
Revision 260145:
Revision 260145 by marsf on
Revision 262055:
Revision 262055 by marsf on
Keywords:
firefox エンタープライズ, 認証局, CAs
firefox エンタープライズ, 認証局, CAs
Search results summary:
Firefox Enterprise で認証局をセットアップする方法を学びます。
Firefox Enterprise で認証局をセットアップする方法を学びます。
Content:
[[Template:Enterprise]]
ご所属の組織でプライベートな認証局 (CA) を使用して内部サーバー向けの証明書を発行している場合、これらのプライベートな証明書を読み込む構成に設定されていないと、Firefox などのブラウザーでエラーが表示されることがあります。これをあらかじめ設定しておけば、組織内のユーザーがウェブサイトへのアクセスで問題を抱えることがなくなります。
これらの認証局証明書 (CA 証明書) は、以下のいずれかの方法で追加できます。
=ポリシーを設定して認証局証明書をインポートする (推奨)=
Firefox バージョン 64 以降で、[[Customizing Firefox Using Group Policy (Windows)|エンタープライズポリシー]] を利用して Firefox に CA 証明書を追加できます。
*''ImportEnterpriseRoots'' キーを '''true''' に設定することにより、Firefox にルート証明書を信頼させます。私たちは、このオプションで Firefox にプライベート PKI の信頼性を追加することを推奨します。これは、下記の [[#w_zu-miip-mi-windows-to-macos-sapotowoshi-yong-suru|組み込み Windows と MacOS サポート]] のセクションで説明されている '''"security.enterprise_roots.enabled"''' を設定することと同等です。
*既定による ''Install'' キーは、以下のリストの場所に置かれた証明書を検索します。Firefox バージョン 65 以降、完全修飾パス名を指定できます ([https://github.com/mozilla/policy-templates/blob/master/README.md#Certificates この例] の cert3.der および cert4.pem を参照)。指定した完全修飾パス名で Firefox が見つけられない場合は、既定のディレクトリーを検索します:
**Windows
***%USERPROFILE%\AppData\Local\Mozilla\Certificates
***%USERPROFILE%\AppData\Roaming\Mozilla\Certificates
**MacOS
***/Library/Application Support/Mozilla/Certificates
***~/Library/Application Support/Mozilla/Certificates
**Linux
***/usr/lib/mozilla/certificates
***/usr/lib64/mozilla/certificates
=組み込み Windows と MacOS サポートを使用する=
about:config で '''"security.enterprise_roots.enabled"''' の値を true に設定することにより、Windows および MacOS のエンタープライズルートサポートが有効になります。
==Windows エンタープライズサポート==
バージョン 49 以降の Firefox は、ユーザーやシステム管理者によって Windows 証明書ストアに追加された認証局を自動的に検索してインポートするよう構成できます。
#Firefox のアドレスバーに “about:config” と入力して {key Enter} キーを押し、設定のリストを開いてください。
#'''"security.enterprise_roots.enabled"''' の設定値を '''true''' に設定してください。
#Firefox を再起動します。
Firefox が HKLM\SOFTWARE\Microsoft\SystemCertificates レジストリーの場所 (API フラグ CERT_SYSTEM_STORE_LOCAL_MACHINE に対応) で、TLS ウェブサーバー認証のために発行された証明書に信頼されている認証局 (CA) を調べます。このような CA は Firefox にインポートされ、信頼されますが、Firefox の証明書マネージャーには表示されません。これらの CA の管理者は、Windows に組み込みのツールや他のサードパーティのユーティリティを使用して正しく配置しておく必要があります。
'''Firefox バージョン 52:''' Firefox は、HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates および HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates のレジストリーの場所も検索します (それぞれ、API フラグ CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY および CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE に対応)。
{note}'''注記:''' この設定は、中間認証局ストアではなく、Windows の信頼されたルート証明機関の証明書ストアからの証明書のみをインポートします ([https://bugzilla.mozilla.org/show_bug.cgi?id=1473573 bug 1473573] を参照)。この機能を有効にした後で “発行者不明” のエラーが発生した場合は、TLS サーバーに、TLS ハンドシェークで必要な中間証明書を含めるよう構成してみてください。{/note}
==MacOS エンタープライズサポート==
Firefox バージョン 63 以降、この機能は、MacOS システムの鍵チェーンで見つかったルートを読み込むことにより、MacOS でも動作します。
=Linux=
==Linux で p11-kit-trust.so を使用する==
証明書は、p11-kit から p11-kit-trust.so を使用することにより、プログラム的にインポートすることができます。(Red Hat ベースなど一部のディストリビューションでは、p11-kit-trust.so を libnsscbki.so として出荷することにより既定で設定されています)。
これは、設定の “セキュリティデバイス” マネージャーや modutil ユーティリティから手動で、'''/etc/firefox/policies/policies.json''' に [https://github.com/mozilla/policy-templates#securitydevices SecurityDevices ポリシー] を設定し、システム内の p11-kit-trust.so の場所を指すエントリーを追加することにより完了します。
==証明書データベースをプリロードする (新しいプロファイルのみ)==
場合によっては、Firefox の新しいプロファイルを作成して、手動で必要な証明書をインストールし、いくつかの db ファイル (cert9.db および key4.db、secmod.db) を新しいプロファイルに配布する方法をとるかもしれません。しかし、このアプローチは新しいプロファイルを作成する場合にしか用いることができないのでお奨めしません。
==Certutil==
Windows では、certutil を使用して、コマンドラインから Firefox の証明書データベースを更新できます。詳しい情報は、[https://docs.microsoft.com/ja-jp/windows-server/administration/windows-commands/certutil Microsoft サポートサイト] を参照してください。
<!-- Firefox で認証局 (CA) をセットアップする -->
[[Template:Enterprise]]
ご所属の組織でプライベートな認証局 (CA) を使用して内部サーバー向けの証明書を発行している場合、これらのプライベートな証明書を読み込む構成に設定されていないと、Firefox などのブラウザーでエラーが表示されることがあります。これをあらかじめ設定しておけば、組織内のユーザーがウェブサイトへのアクセスで問題を抱えることがなくなります。
これらの認証局証明書 (CA 証明書) は、以下のいずれかの方法で追加できます。
=ポリシーを設定して認証局証明書をインポートする (推奨)=
[[Find what version of Firefox you are using|Firefox バージョン]] 64 以降で、[[Customizing Firefox Using Group Policy (Windows)|エンタープライズポリシー]] を利用して Firefox に CA 証明書を追加できます。
*''ImportEnterpriseRoots'' キーを '''true''' に設定することにより、Firefox にルート証明書を信頼させます。私たちは、このオプションで Firefox にプライベート PKI の信頼性を追加することを推奨します。これは、下記の [[#w_zu-miip-mi-windows-to-macos-sapotowoshi-yong-suru|組み込み Windows と macOS サポート]] のセクションで説明されている {pref security.enterprise_roots.enabled} を設定することと同等です。
*既定による ''Install'' キーは、以下のリストの場所に置かれた証明書を検索します。Firefox バージョン 65 以降、完全修飾パス名を指定できます ([https://github.com/mozilla/policy-templates/blob/master/README.md#Certificates この例] の ''cert3.der'' および ''cert4.pem'' を参照)。指定した完全修飾パス名で Firefox が見つけられない場合は、既定のディレクトリーを検索します:
**Windows
***%USERPROFILE%\AppData\Local\Mozilla\Certificates
***%USERPROFILE%\AppData\Roaming\Mozilla\Certificates
**macOS
***/Library/Application Support/Mozilla/Certificates
***~/Library/Application Support/Mozilla/Certificates
**Linux
***/usr/lib/mozilla/certificates
***/usr/lib64/mozilla/certificates
=組み込み Windows と macOS サポートを使用する=
''about:config'' ページで {pref security.enterprise_roots.enabled} の値を true に設定することにより、Windows および macOS のエンタープライズルートサポートが有効になります。
==Windows エンタープライズサポート==
バージョン 49 以降の Firefox は、ユーザーやシステム管理者によって Windows 証明書ストアに追加された認証局を自動的に検索してインポートするよう構成できます。
#[[Template:aboutconfig]]
#{pref security.enterprise_roots.enabled} の設定を検索してください。
#この設定の横の ''切り替え'' [[Image:Fx71aboutconfig-ToggleButton]] ボタンをクリックして値を {pref true} に変更してください。
#Firefox を再起動します。
Firefox が ''HKLM\SOFTWARE\Microsoft\SystemCertificates'' レジストリーの場所 (API フラグ ''CERT_SYSTEM_STORE_LOCAL_MACHINE'' に対応) で、TLS ウェブサーバー認証のために発行された証明書に信頼されている認証局 (CA) を調べます。このような CA は Firefox にインポートされ、信頼されますが、Firefox の証明書マネージャーには表示されません。これらの CA の管理者は、Windows に組み込みのツールや他のサードパーティのユーティリティを使用して正しく配置しておく必要があります。
'''Firefox バージョン 52:''' Firefox は、''HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates'' および ''HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates'' のレジストリーの場所も検索します (それぞれ、API フラグ ''CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY'' および ''CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE'' に対応)。
{note}'''注記:''' この設定は、中間認証局ストアではなく、Windows の信頼されたルート証明機関の証明書ストアからの証明書のみをインポートします ([https://bugzilla.mozilla.org/show_bug.cgi?id=1473573 bug 1473573] を参照)。この機能を有効にした後で ''発行者不明'' のエラーが発生した場合は、TLS サーバーに、TLS ハンドシェークで必要な中間証明書を含めるよう構成してみてください。{/note}
==macOS エンタープライズサポート==
Firefox バージョン 63 以降、この機能は、macOS システムの鍵チェーンで見つかったルートを読み込むことにより、macOS でも動作します。
=Linux=
==Linux で p11-kit-trust<!-- -->.so を使用する==
証明書は、''p11-kit'' から ''p11-kit-trust<!-- -->.so'' を使用することにより、プログラム的にインポートすることができます。(Red Hat ベースなど一部のディストリビューションでは、''p11-kit-trust<!-- -->.so'' を ''libnsscbki<!-- -->.so'' として出荷することにより既定で設定されています)。
これは、設定の “セキュリティデバイス” マネージャーや modutil ユーティリティから手動で、'''/etc/firefox/policies/policies.json''' に [https://github.com/mozilla/policy-templates#securitydevices SecurityDevices ポリシー] を設定し、システム内の ''p11-kit-trust<!-- -->.so'' の場所を指すエントリーを追加することにより完了します。
==証明書データベースをプリロードする (新しいプロファイルのみ)==
場合によっては、Firefox の新しいプロファイルを作成して、手動で必要な証明書をインストールし、いくつかの db ファイル (''cert9.db'' および ''key4.db''、''secmod.db'') を新しいプロファイルに配布する方法をとるかもしれません。しかし、このアプローチは新しいプロファイルを作成する場合にしか用いることができないのでお奨めしません。
==Certutil==
Windows では、certutil を使用して、コマンドラインから Firefox の証明書データベースを更新できます。詳しい情報は、[https://docs.microsoft.com/ja-jp/windows-server/administration/windows-commands/certutil Microsoft サポートサイト] を参照してください。