Konfigurowanie urzędów certyfikacji (CA) w programie Firefox

Firefox for Enterprise Firefox for Enterprise Ostatnio zaktualizowany:

Nie ma szablonu „Enterprise” lub jego zatwierdzonej wersji.

Jeśli twoja organizacja używa prywatnych urzędów certyfikacji (CA) do wydawania certyfikatów dla wewnętrznych serwerów, przeglądarki takie jak Firefox mogą wyświetlać błędy, jeśli nie skonfigurujesz ich tak, by rozpoznawały te prywatne certyfikaty. Należy to zrobić odpowiednio wcześnie, aby użytkownicy nie mieli problemów z dostępem do stron internetowych.

Możesz dodać te certyfikaty CA za pomocą jednej z następujących metod.

Używanie polis do importowania certyfikatów CA (zalecane)

Począwszy od Firefoksa w wersji 64, polisa przedsiębiorstwa może być użyta do dodania certyfikatów CA do programu Firefox.

  • Ustawienie klucza ImportEnterpriseRoots na true spowoduje, że Firefox będzie ufał certyfikatom głównym. Zalecamy tę opcję, aby dodać zaufanie dla prywatnego PKI do programu Firefox. Jest ona równoważna z ustawieniem preferencji security.enterprise_roots.enabled, jak opisano poniżej w sekcji Użycie wbudowanej obsługi w systemach Windows i macOS.

Klucz Install domyślnie wyszukuje certyfikaty w lokalizacjach wymienionych poniżej. Począwszy od Firefoksa 65, możesz określić w pełni kwalifikowaną ścieżkę (zobacz cert3.der i cert4.pem w tym przykładzie). Jeśli Firefox nie znajdzie czegoś w twojej w pełni kwalifikowanej ścieżce, przeszuka domyślne katalogi:

    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Użycie wbudowanej obsługi w systemach Windows i macOS

Ustawienie preferencji security.enterprise_roots.enabled na true w about:config włączy obsługę certyfikatów głównych w systemach Windows i macOS.

Wsparcie dla przedsiębiorstw w systemie Windows

Począwszy od wersji 49, Firefox może być skonfigurowany do automatycznego wyszukiwania i importowania CA, które zostały dodane do magazynu certyfikatów Windows przez użytkownika lub administratora.

  1. Wpisz about:config w pasku adresu i wciśnij klawisz EnterReturn.
    Może wyświetlić się strona z ostrzeżeniem. Naciśnij przycisk Akceptuję ryzyko, kontynuuj, aby przejść na stronę about:config.
  2. Wyszukaj preferencję security.enterprise_roots.enabled.
  3. Kliknij przycisk Przełącz Fx71aboutconfig-ToggleButton po prawej stronie tej preferencji, aby zmienić jej wartość na true.
  4. Uruchom ponownie przeglądarkę Firefox.

Firefox sprawdzi lokalizację rejestru HKLM\SOFTWARE\Microsoft\SystemCertificates (odpowiadającą fladze API CERT_SYSTEM_STORE_LOCAL_MACHINE) w poszukiwaniu CA, które są zaufane do wystawiania certyfikatów TLS dla uwierzytelniania serwerów WWW. Wszystkie takie CA zostaną zaimportowane i zaufane przez program Firefox, choć mogą nie pojawić się w menedżerze certyfikatów programu Firefox. Administracja tymi CA powinna odbywać się za pomocą wbudowanych narzędzi Windows lub innych narzędzi firm trzecich.

Firefox w wersji 52: Firefox przeszuka również lokalizacje rejestru HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates oraz HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (odpowiadające odpowiednio flagom API CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY oraz CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE).

Uwaga: To ustawienie importuje jedynie certyfikaty z magazynu Windows Trusted Root Certification Authorities, a nie odpowiadające im magazyny Intermediate Certification Authorities. Zapoznaj się z błędem 1473573. Jeśli doświadczasz błędów "unknown issuer" nawet po włączeniu tej funkcji, spróbuj skonfigurować swój serwer TLS tak, aby zawierał niezbędne certyfikaty pośrednie w TLS handshake.

Wsparcie dla systemu macOS Enterprise

Począwszy od Firefoksa 63, ta funkcja działa również dla systemu macOS poprzez importowanie certyfikatów głównych znajdujących się w łańcuchu kluczy systemu macOS.

Linux

Używanie p11-kit-trust.so w systemie Linux

Certyfikaty mogą być programowo importowane poprzez użycie p11-kit-trust.so z p11-kit (zauważ, że niektóre dystrybucje, takie jak Red Hat, robią to domyślnie poprzez dostarczenie p11-kit-trust.so jako libnsscbki.so).

Można to zrobić poprzez ustawienie polisy SecurityDevices w /etc/firefox/policies/policies.json i dodanie wpisu wskazującego na lokalizację p11-kit-trust.so w systemie, poprzez ręczne dodanie go poprzez menadżera “Security Devices” w Preferencjach, lub poprzez użycie narzędzia modutil.

Przeładowanie baz danych certyfikatów (tylko nowe profile)

Niektórzy użytkownicy tworząc nowy profil w Firefoksie, ręcznie instalują potrzebne im certyfikaty, a następnie dystrybuują różne pliki db (cert9.db, key4.db i secmod.db) do nowych profili używając tej metody. Nie jest to zalecane podejście, a ta metoda działa tylko dla nowych profili.

Certutil

Możesz użyć narzędzia certutil do aktualizacji baz danych certyfikatów Firefoksa z linii poleceń. Więcej informacji na ten temat znajdziesz na witrynie wsparcia Microsoftu.

Czy ten artykuł okazał się pomocny?

Proszę czekać…

Osoby, które pomogły w tworzeniu tego artykułu:

Illustration of hands

Pomóż nam

Zdobywaj wiedzę i dziel się nią z innymi. Odpowiadaj na pytania i ulepsz naszą bazę wiedzy.

Więcej informacji