このテンプレート "Enterprise" は存在しないか承認されていません。
ご所属の組織でプライベートな認証局 (CA) を使用して内部サーバー向けの証明書を発行している場合、これらのプライベートな証明書を読み込む構成に設定されていないと、Firefox などのブラウザーでエラーが表示されることがあります。これをあらかじめ設定しておけば、組織内のユーザーがウェブサイトへのアクセスで問題を抱えることがなくなります。
これらの認証局証明書 (CA 証明書) は、以下のいずれかの方法で追加できます。
ポリシーを設定して認証局証明書をインポートする (推奨)
Firefox バージョン 64 以降で、エンタープライズポリシー を利用して Firefox に CA 証明書を追加できます。
- ImportEnterpriseRoots キーを true に設定することにより、Firefox にルート証明書を信頼させます。私たちは、このオプションで Firefox にプライベート PKI の信頼性を追加することを推奨します。これは、下記の 組み込み Windows と macOS サポート のセクションで説明されている security.enterprise_roots.enabled を設定することと同等です。
- 既定による Install キーは、以下のリストの場所に置かれた証明書を検索します。Firefox バージョン 65 以降、完全修飾パス名を指定できます (この例 の cert3.der および cert4.pem を参照)。指定した完全修飾パス名で Firefox が見つけられない場合は、既定のディレクトリーを検索します:
- Windows
- %USERPROFILE%\AppData\Local\Mozilla\Certificates
- %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
- macOS
- /Library/Application Support/Mozilla/Certificates
- ~/Library/Application Support/Mozilla/Certificates
- Linux
- /usr/lib/mozilla/certificates
- /usr/lib64/mozilla/certificates
- Windows
組み込み Windows と macOS サポートを使用する
about:config ページで security.enterprise_roots.enabled の値を true に設定することにより、Windows および macOS のエンタープライズルートサポートが有効になります。
Windows エンタープライズサポート
バージョン 49 以降の Firefox は、ユーザーやシステム管理者によって Windows 証明書ストアに追加された認証局を自動的に検索してインポートするよう構成できます。
- アドレスバー に about:config と入力し、EnterReturn キーを押します。
警告ページが表示されます。 をクリックし、about:config ページを開いてください。 - security.enterprise_roots.enabled の設定を検索してください。
- この設定の横の 切り替え ボタンをクリックして値を true に変更してください。
- Firefox を再起動します。
Firefox が HKLM\SOFTWARE\Microsoft\SystemCertificates レジストリーの場所 (API フラグ CERT_SYSTEM_STORE_LOCAL_MACHINE に対応) で、TLS ウェブサーバー認証のために発行された証明書に信頼されている認証局 (CA) を調べます。このような CA は Firefox にインポートされ、信頼されますが、Firefox の証明書マネージャーには表示されません。これらの CA の管理者は、Windows に組み込みのツールや他のサードパーティのユーティリティを使用して正しく配置しておく必要があります。
Firefox バージョン 52: Firefox は、HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates および HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates のレジストリーの場所も検索します (それぞれ、API フラグ CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY および CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE に対応)。
macOS エンタープライズサポート
Firefox バージョン 63 以降、この機能は、macOS システムの鍵チェーンで見つかったルートを読み込むことにより、macOS でも動作します。
Linux
Linux で p11-kit-trust.so を使用する
証明書は、p11-kit から p11-kit-trust.so を使用することにより、プログラム的にインポートすることができます。(Red Hat ベースなど一部のディストリビューションでは、p11-kit-trust.so を libnsscbki.so として出荷することにより既定で設定されています)。
これは、設定の “セキュリティデバイス” マネージャーや modutil ユーティリティから手動で、/etc/firefox/policies/policies.json に SecurityDevices ポリシー を設定し、システム内の p11-kit-trust.so の場所を指すエントリーを追加することにより完了します。
証明書データベースをプリロードする (新しいプロファイルのみ)
場合によっては、Firefox の新しいプロファイルを作成して、手動で必要な証明書をインストールし、いくつかの db ファイル (cert9.db および key4.db、secmod.db) を新しいプロファイルに配布する方法をとるかもしれません。しかし、このアプローチは新しいプロファイルを作成する場合にしか用いることができないのでお奨めしません。
Certutil
Windows では、certutil を使用して、コマンドラインから Firefox の証明書データベースを更新できます。詳しい情報は、Microsoft サポートサイト を参照してください。