Konfigurowanie urzędów certyfikacji (CA) w programie Firefox

Firefox for Enterprise Firefox for Enterprise Ostatnio zaktualizowany: 2 tygodnie, 1 dzień ago

Ten artykuł jest adresowany do administratorów IT, którzy chcą skonfigurować przeglądarkę Firefox na komputerach w swojej organizacji.

Jeśli w organizacji, do wydawania certyfikatów dla wewnętrznych serwerów, używane są prywatne urzędy certyfikacji (CA), a przeglądarki, takie jak Firefox nie zostaną skonfigurowane tak, by rozpoznawały prywatne certyfikaty, przeglądarki te mogą wyświetlać błędy. Należy to zrobić odpowiednio wcześnie, aby użytkownicy nie mieli problemów z dostępem do stron internetowych.


Certyfikaty CA można dodać za pomocą jednej z następujących metod.

Użycie wbudowanej obsługi dla systemów Windows, macOS i Android (zalecane)

Domyślnie Firefox w systemach Windows, macOS i Android będzie wyszukiwał i korzystał z zewnętrznych urzędów certyfikacji, które zostały dodane do magazynu certyfikatów systemu operacyjnego. Jeśli system operacyjny został skonfigurowany tak, by ufał prywatnym urzędom certyfikacji, Firefox powinien ufać tym urzędom certyfikacji bez konieczności dodatkowej konfiguracji. Tą funkcją można sterować za pomocą pola wyboru Firefox może automatycznie ufać zewnętrznym certyfikatom głównym zainstalowanym przez użytkownika znajdującego się w ustawieniach Firefoksa na karcie Prywatność i bezpieczeństwo w sekcji Certyfikaty. Alternatywnie, tą funkcją steruje preferencja security.enterprise_roots.enabled znajdująca się w głównych ustawieniach Firefoksa dostępnych po wpisaniu w pasku adresu about:config.

Wsparcie dla przedsiębiorstw w systemie Windows

Firefox może być skonfigurowany do automatycznego wyszukiwania i importowania urzędów certyfikacji (CA), które zostały dodane do magazynu certyfikatów Windows przez użytkownika lub administratora.

  1. Wpisz about:config w pasku adresu i wciśnij klawisz EnterReturn.
    Może wyświetlić się strona z ostrzeżeniem. Naciśnij przycisk Akceptuję ryzyko, kontynuuj, aby przejść na stronę about:config.
  2. Wyszukaj preferencję security.enterprise_roots.enabled.
  3. Kliknij przycisk Przełącz Fx71aboutconfig-ToggleButton znajdujący się po prawej stronie tej preferencji, aby zmienić jej wartość na true.
  4. Uruchom ponownie Firefoksa.

Firefox sprawdzi lokalizację rejestru HKLM\SOFTWARE\Microsoft\SystemCertificates (odpowiadającą fladze API CERT_SYSTEM_STORE_LOCAL_MACHINE) w poszukiwaniu urzędów certyfikacji (CA), które są zaufane do wystawiania certyfikatów TLS dla uwierzytelniania serwerów WWW. Wszystkie takie urzędy certyfikacji (CA) zostaną zaimportowane i zaufane przez Firefoksa, choć mogą nie pojawić się w menedżerze certyfikatów. Administracja tymi urzędami certyfikacji (CA) powinna odbywać się za pomocą wbudowanych narzędzi Windows lub innych narzędzi firm trzecich.

Firefox przeszuka również lokalizacje rejestru HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates oraz HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (odpowiadające odpowiednio flagom API CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY oraz CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE).

Wsparcie dla systemu macOS Enterprise

Ta funkcja działa również dla systemu macOS poprzez importowanie certyfikatów głównych znajdujących się w łańcuchu kluczy systemu macOS.

Używanie zasad do importowania certyfikatów CA

Do dodania certyfikatów CA do Firefoksa można użyć Lokalnych zasad grup.

  • Ustawienie klucza ImportEnterpriseRoots na true spowoduje, że Firefox będzie ufał certyfikatom głównym. Zalecamy tę opcję, aby dodać do Firefoksa zaufanie do prywatnej infrastruktury dla prywatnego PKI. Jest to równoznaczne z ustawieniem preferencji security.enterprise_roots.enabled, jak opisano powyżej w sekcji Użycie wbudowanej obsługi dla systemów Windows, macOS i Android (zalecane).

Klucz Install domyślnie wyszukuje certyfikaty w lokalizacjach wymienionych poniżej. Można określić w pełni kwalifikowaną ścieżkę. Zobacz przykłady przedstawione tutaj. Jeśli Firefox nie znajdzie czegoś w pełni kwalifikowanej ścieżce, przeszuka domyślne katalogi:

    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Linux

Użycie p11-kit-trust.so w systemie Linux

Certyfikaty mogą być programowo importowane poprzez użycie p11-kit-trust.so z p11-kit. Zauważ, że niektóre dystrybucje, takie jak Red Hat, robią to domyślnie poprzez dostarczenie p11-kit-trust.so jako libnsscbki.so.

Można to zrobić poprzez ustawienie polisy SecurityDevices w /etc/firefox/policies/policies.json i dodanie wpisu wskazującego na lokalizację p11-kit-trust.so w systemie, poprzez ręczne dodanie go poprzez menadżera Security Devices w preferencjach, lub poprzez użycie narzędzia modutil.

Wstępne wczytanie baz danych certyfikatów (tylko nowe profile)

Niektórzy użytkownicy, tworząc nowy profil w Firefoksie ręcznie instalują potrzebne im certyfikaty, a następnie dystrybuują różne pliki .db (cert9.db, key4.db i secmod.db) do nowych profili używając tej metody. Nie jest to zalecane podejście, a ta metoda działa tylko dla nowych profili.

Certutil

Do aktualizacji baz danych certyfikatów Firefoksa można z linii poleceń użyć narzędzia Certutil. Więcej informacji na ten temat znajduje się na witrynie wsparcia Microsoftu.

Czy ten artykuł okazał się pomocny?

Proszę czekać…

Osoby, które pomogły w tworzeniu tego artykułu:

Teo, TyDraniu
Illustration of hands

Pomóż nam

Zdobywaj wiedzę i dziel się nią z innymi. Odpowiadaj na pytania i ulepsz naszą bazę wiedzy.

Więcej informacji