O modelo "Enterprise" não existe ou não tem nenhuma edição aprovada.
Caso sua organização use autoridades certificadoras próprias para emitir certificados para seus servidores internos, navegadores como o Firefox podem exibir mensagens de erro, a menos que você os configure para reconhecer esses certificados próprios. Isto deve ser feito com antecedência, para que seus usuários não tenham dificuldade em acessar os sites.
Você pode adicionar certificados dessas autoridades certificadoras usando um dos métodos a seguir.
Usando diretivas para importar certificados de autoridades certificadoras (recomendado)
Desde o Firefox versão 64, uma diretiva corporativa pode ser usada para adicionar certificados de autoridades certificadoras ao Firefox.
- Definir a chave ImportEnterpriseRoots como true faz com que o Firefox confie em certificados raiz. Recomendamos esta opção para adicionar ao Firefox confiança em uma PKI (public key infrastructure) própria. É o equivalente a configurar a preferência security.enterprise_roots.enabled, conforme descrito na seção abaixo de suporte incorporado em Windows e macOS.
- Por padrão, a chave Install procura certificados nos locais indicados abaixo. Desde o Firefox 65, você pode especificar um path inteiramente qualificado (veja cert3.der e cert4.pem neste exemplo). Se o Firefox não encontrar nada em seu path inteiramente qualificado, ele procura nos diretórios padrão:
- Windows
- %USERPROFILE%\AppData\Local\Mozilla\Certificates
- %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
- macOS
- /Library/Application Support/Mozilla/Certificates
- ~/Library/Application Support/Mozilla/Certificates
- Linux
- /usr/lib/mozilla/certificates
- /usr/lib64/mozilla/certificates
Usando suporte incorporado em Windows e macOS
Definir a preferência security.enterprise_roots.enabled como true na página about:config, ativa o suporte a raiz corporativa em Windows e macOS.
Suporte corporativo em Windows
Desde a versão 49, o Firefox pode ser configurado para automaticamente procurar e importar autoridades certificadoras que tenham sido adicionadas ao repositório de certificados do Windows por um usuário ou administrador.
- Digite about:config na barra de endereços e tecle EnterReturn.
Pode aparecer uma página de alerta. Clique em para ir para a página about:config. - Procure a preferência security.enterprise_roots.enabled.
- Clique no botão Alternar ao lado desta preferência para alterar seu valor para true.
- Reinicie o Firefox.
O Firefox inspeciona no local de registros HKLM\SOFTWARE\Microsoft\SystemCertificates (correspondente ao flag de API CERT_SYSTEM_STORE_LOCAL_MACHINE) as autoridades certificadoras consideradas confiáveis para emitir certificados para autenticação TLS de servidores web. Quaisquer autoridades certificadoras encontradas ali são importadas e consideradas confiáveis pelo Firefox, embora possam não aparecer no gerenciador de certificados do Firefox. A administração dessas autoridades certificadoras deve ser feita usando ferramentas incorporadas ao Windows ou outros utilitários de terceiros.
Firefox versão 52: O Firefox também procura nos locais de registros HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates e HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (correspondentes aos flags de API CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY e CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE, respectivamente).
Suporte corporativo em macOS
Desde o Firefox 63, este recurso também funciona em macOS, importando raízes encontradas no chaveiro do sistema do macOS.
Linux
Usando p11-kit-trust.so em Linux
Certificados podem ser importados através de programação usando p11-kit-trust.so do p11-kit (note que algumas distribuições, como as baseadas em Red Hat, já fazem isso por padrão ao distribuir o p11-kit-trust.so como libnsscbki.so).
Isto pode ser feito configurando a diretiva SecurityDevices em /etc/firefox/policies/policies.json e adicionando um item apontando para o local do p11-kit-trust.so no sistema, adicionando manualmente através do gerenciador de “dispositivos seguros” nas preferências, ou usando o utilitário modutil.
Pré-carregando as bases de dados de certificados (apenas em novos perfis)
Algumas pessoas criam um novo perfil no Firefox, instalam manualmente os certificados que precisam e depois distribuem os vários arquivos db (cert9.db, key4.db e secmod.db) para novos perfis usando este método. Não é uma abordagem recomendada e este método só funciona em novos perfis.
Certutil
Você pode usar o certutil para atualizar as bases de dados de certificados do Firefox a partir da linha de comando. Busque mais informações no site de suporte da Microsoft.