Nie ma szablonu „Enterprise” lub jego zatwierdzonej wersji.
Jeśli twoja organizacja używa prywatnych urzędów certyfikacji (CA) do wydawania certyfikatów dla wewnętrznych serwerów, przeglądarki takie jak Firefox mogą wyświetlać błędy, jeśli nie skonfigurujesz ich tak, by rozpoznawały te prywatne certyfikaty. Należy to zrobić odpowiednio wcześnie, aby użytkownicy nie mieli problemów z dostępem do stron internetowych.
Możesz dodać te certyfikaty CA za pomocą jednej z następujących metod.
Używanie polis do importowania certyfikatów CA (zalecane)
Począwszy od Firefoksa w wersji 64, polisa przedsiębiorstwa może być użyta do dodania certyfikatów CA do programu Firefox.
- Ustawienie klucza ImportEnterpriseRoots na true spowoduje, że Firefox będzie ufał certyfikatom głównym. Zalecamy tę opcję, aby dodać zaufanie dla prywatnego PKI do programu Firefox. Jest ona równoważna z ustawieniem preferencji security.enterprise_roots.enabled, jak opisano poniżej w sekcji Użycie wbudowanej obsługi w systemach Windows i macOS.
Klucz Install domyślnie wyszukuje certyfikaty w lokalizacjach wymienionych poniżej. Począwszy od Firefoksa 65, możesz określić w pełni kwalifikowaną ścieżkę (zobacz cert3.der i cert4.pem w tym przykładzie). Jeśli Firefox nie znajdzie czegoś w twojej w pełni kwalifikowanej ścieżce, przeszuka domyślne katalogi:
- Windows
- %USERPROFILE%\AppData\Local\Mozilla\Certificates
- %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
- macOS
- /Library/Application Support/Mozilla/Certificates
- ~/Library/Application Support/Mozilla/Certificates
- Linux
- /usr/lib/mozilla/certificates
- /usr/lib64/mozilla/certificates
- Windows
Użycie wbudowanej obsługi w systemach Windows i macOS
Ustawienie preferencji security.enterprise_roots.enabled na true w about:config włączy obsługę certyfikatów głównych w systemach Windows i macOS.
Wsparcie dla przedsiębiorstw w systemie Windows
Począwszy od wersji 49, Firefox może być skonfigurowany do automatycznego wyszukiwania i importowania CA, które zostały dodane do magazynu certyfikatów Windows przez użytkownika lub administratora.
- Wpisz about:config w pasku adresu i wciśnij klawisz EnterReturn.
Może wyświetlić się strona z ostrzeżeniem. Naciśnij przycisk , aby przejść na stronę about:config. - Wyszukaj preferencję security.enterprise_roots.enabled.
- Kliknij przycisk Przełącz po prawej stronie tej preferencji, aby zmienić jej wartość na true.
- Uruchom ponownie przeglądarkę Firefox.
Firefox sprawdzi lokalizację rejestru HKLM\SOFTWARE\Microsoft\SystemCertificates (odpowiadającą fladze API CERT_SYSTEM_STORE_LOCAL_MACHINE) w poszukiwaniu CA, które są zaufane do wystawiania certyfikatów TLS dla uwierzytelniania serwerów WWW. Wszystkie takie CA zostaną zaimportowane i zaufane przez program Firefox, choć mogą nie pojawić się w menedżerze certyfikatów programu Firefox. Administracja tymi CA powinna odbywać się za pomocą wbudowanych narzędzi Windows lub innych narzędzi firm trzecich.
Firefox w wersji 52: Firefox przeszuka również lokalizacje rejestru HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates oraz HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (odpowiadające odpowiednio flagom API CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY oraz CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE).
Wsparcie dla systemu macOS Enterprise
Począwszy od Firefoksa 63, ta funkcja działa również dla systemu macOS poprzez importowanie certyfikatów głównych znajdujących się w łańcuchu kluczy systemu macOS.
Linux
Używanie p11-kit-trust.so w systemie Linux
Certyfikaty mogą być programowo importowane poprzez użycie p11-kit-trust.so z p11-kit (zauważ, że niektóre dystrybucje, takie jak Red Hat, robią to domyślnie poprzez dostarczenie p11-kit-trust.so jako libnsscbki.so).
Można to zrobić poprzez ustawienie polisy SecurityDevices w /etc/firefox/policies/policies.json i dodanie wpisu wskazującego na lokalizację p11-kit-trust.so w systemie, poprzez ręczne dodanie go poprzez menadżera “Security Devices” w Preferencjach, lub poprzez użycie narzędzia modutil.
Przeładowanie baz danych certyfikatów (tylko nowe profile)
Niektórzy użytkownicy tworząc nowy profil w Firefoksie, ręcznie instalują potrzebne im certyfikaty, a następnie dystrybuują różne pliki db (cert9.db, key4.db i secmod.db) do nowych profili używając tej metody. Nie jest to zalecane podejście, a ta metoda działa tylko dla nowych profili.
Certutil
Możesz użyć narzędzia certutil do aktualizacji baz danych certyfikatów Firefoksa z linii poleceń. Więcej informacji na ten temat znajdziesz na witrynie wsparcia Microsoftu.