Шаблон "Enterprise" не существует или не имеет одобренной версии.
Если ваша организация использует частные центры сертификации (CA) для выпуска сертификатов для внутренних серверов, браузеры, такие как Firefox, могут отображать ошибки, пока вы не сконфигурируете их на распознавание этих частных сертификатов. Это следует сделать на ранней стадии, чтобы у ваших пользователей не возникало проблем с доступом к веб-сайтам.
Вы можете добавить эти CA-сертификаты с помощью одного из следующих методов.
Использование политик для импорта CA-сертификатов (рекомендуется)
Начиная с Firefox версии 64, для добавления CA-сертификатов в Firefox можно использовать корпоративную политику.
- Установке ключа ImportEnterpriseRoots в значение true приведёт к тому, что Firefox будет доверять корневым сертификатам. Мы рекомендуем эту опцию для добавления в Firefox доверия к частным PKI. Это равноценно настройке параметра security.enterprise_roots.enabled, как описано ниже в секции о встроенной поддержке Windows и macOS.
- Ключ Install по умолчанию будет совершать поиск по сертификатам в расположениях, перечисленных ниже. Начиная с Firefox 65 вы можете указать полный путь (смотрите cert3.der и cert4.pem в этом примере). Если Firefox что-то не найдёт в вашем полном пути, он будет искать в директориях по умолчанию:
- Windows
- %USERPROFILE%\AppData\Local\Mozilla\Certificates
- %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
- macOS
- /Library/Application Support/Mozilla/Certificates
- ~/Library/Application Support/Mozilla/Certificates
- Linux
- /usr/lib/mozilla/certificates
- /usr/lib64/mozilla/certificates
- Windows
Использование встроенной поддержки Windows и macOS
Установка параметра security.enterprise_roots.enabled в значение true на странице about:config включит корпоративную корневую поддержку Windows и macOS.
=Поддержка Корпоративного Windows
Начиная с версии 49, Firefox можно сконфигурировать на автоматический поиск и импорт CA, которые добавляются в хранилище сертификатов Windows пользователем или администратором.
- Введите about:config в адресной строке и нажмите EnterReturn.
Может появиться страница с предупреждением. Нажмите , чтобы перейти на страницу about:config. - Найдите параметр security.enterprise_roots.enabled.
- Нажмите кнопку Переключить рядом с этим параметром, чтобы изменить его значение на true.
- Перезапустите Firefox.
Firefox проверит расположение реестра HKLM\SOFTWARE\Microsoft\SystemCertificates (относящееся к флагу API CERT_SYSTEM_STORE_LOCAL_MACHINE) на наличие CA, которым доверено выпускать сертификаты для проверки подлинности веб-сервера TLS. Каждый CA будет импортирован в Firefox, и он будет им доверять, однако они могут не появиться в менеджере сертификатов Firefox. Администрирование этих CA должно осуществляться с помощью встроенных в Windows инструментов или других сторонних утилит.
Firefox версии 52: Firefox будет также совершать поиск в расположениях реестра HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates и HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (относящихся к флагам API CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY и CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE соответственно).
=Поддержка Корпоративного macOS
Начиная с Firefox 63 эта функция также работает для macOS посредством ипорта корневиков, найденных в системной цепочке ключей MacOS.
Linux
Использование p11-kit-trust.so на Linux
Сертификаты могут импортироваться программно с помощью p11-kit-trust.so из p11-kit (обратите внимание, что некоторые дистрибутивы, например, на основе Red Hat, уже делают это по умолчанию, поставляя p11-kit-trust.so как libnsscbki.so).
Это можно сделать через настройку политики SecurityDevices в /etc/firefox/policies/policies.json' и добавление записи, указывающей на расположение p11-kit-trust.so в системе, добавив его вручную с помощью менеджера “Устройства безопасности” (“Security Devices”) в Настройках или с помощью утилиты modutil.
Предзагрузка Базы данных сертификатов (только новые профили)
Некоторые люди создают новый профиль в Firefox, устанавливая необходимые сертификаты, и затем распространяют несколько db-файлов (cert9.db, key4.db и secmod.db) по новым профилям с помощью этого метода. Этот подход не рекомендуется и этот метод работает только для новых профилей.
Certutil
Вы можете использовать certutil для обновления баз данных сертификатов Firefox из командной строки. Ознакомьтесь с сайтом поддержки Microsoft для получения дополнительной информации.