O modelo "Enterprise" não existe ou não possui uma revisão aprovada.
Se a sua organização utiliza as autoridades de certificação (CAs) privadas para emitir certificados para os seus servidores internos, os navegadores, tal como o Firefox podem exibir erros, a menos que os configure para reconhecer esses certificados privados. Isto deverá ser realizado desde o início, e assim, os seus utilizadores não têm problemas para aceder aos sites da Web.
Pode adicionar estes certificados CA utilizando um dos métodos seguintes.
Utilizar as políticas para importar os certificados CA (recomendado)
A partir do Firefox - versão 64, pode ser utilizada uma política de empresa para adicionar certificados CA ao Firefox.
- Definir a chave "ImportEnterpriseRoots" para true fará com que o Firefox confie nos certificados raiz. Nós recomendamos esta opção para adicionar confiança para um PKI privado ao Firefox. É equivalente a definir a preferência security.enterprise_roots.enabled conforme descrito na secção em baixo "Suporte Integrado para Windows e macOS".
- A chave "Install", por predefinição, procurará certificados nas localizações listadas em baixo. A partir do Firefox 65, pode especificar um caminho totalmente qualificado (consulte "cert3.der" e "cert4.pem" neste exemplo). Se o Firefox não encontrar algo no seu caminho totalmente qualificado, ele pesquisará as diretorias predefinidas:
- Windows
- %USERPROFILE%\AppData\Local\Mozilla\Certificates
- %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
- macOS
- /Library/Application Support/Mozilla/Certificates
- ~/Library/Application Support/Mozilla/Certificates
- Linux
- /usr/lib/mozilla/certificates
- /usr/lib64/mozilla/certificates
- Windows
Utilizar o suporte integrado no Windows e MacOS
Definir a preferência security.enterprise_roots.enabled para "true" na página de about:config irá ativar o suporte raiz de empresa no Windows e macOS.
Suporte de Empresa no Windows
A partir da versão 49, o Firefox pode ser configurado para procurar automaticamente e importar CAs que foram adicionados à loja de certificados do Windows por um utilizador ou administrador.
- Digite about:config na barra de endereço e pressione EnterReturn.
Poderá aparecer uma página de aviso. Clique em para ir para a página de about:config. - Procure pela preferência security.enterprise_roots.enabled.
- Clique no botão Alternar ao lado desta preferência para alterar o seu valor para true.
- Reinicie o Firefox.
O Firefox irá inspecionar a localização "HKLM\SOFTWARE\Microsoft\SystemCertificates" do "Registo" (correspondente à opção da API CERT_SYSTEM_STORE_LOCAL_MACHINE) para CAs que são confiáveis para emitir certificados para a autenticação do servidor da Web TLS. Quaisquer CAs serão importados e confiados pelo Firefox, embora possam não aparecer no gestor de certificados do Firefox. A administração destas CAs deverão ocorrer utilizando as ferramentas integradas do Windows ou outros utilitários de terceiros.
Versão 52 do Firefox: o Firefox também irá procurar as localizações "HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates e HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates" do "Registo" (correspondente à opção da API "CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY" e "CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE", respetivamente).
Suporte de Empresa no nacOS
A partir do Firefox - versão 63, esta funcionalidade também funciona para o macOS, importando as raízes encontradas na cadeia-chave do sistema macOS.
Linux
Utilizar p11-kit-trust.so no Linux
Os certificados podem ser podem ser importados programaticamente utilizando "p11-kit-trust.so" de "p11-kit" (note que algumas distribuições, tais como as baseadas em Red Hat, já fazem isto por predefinição, incluindo "p11-kit-trust.so" como "libnsscbki.so").
Isto pode ser efetuado definindo a política SecurityDevices em /etc/firefox/policies/policies.json e adicionando uma entrada encaminhada para a localização "p11-kit-trust.so" no sistema, adicionando-a manualmente através do gestor de “Dispositivos de Segurança” nas «Preferências», ou utilizando o utilitário modutil.
Pré-carregar Base de Dados de Certificados (apenas novos perfis)
Algumas pessoas criam um novo perfil no Firefox, instalam manualmente os certificados de que precisam, e depois distribuem os vários ficheiros db ("cert9.db", "key4.db" e "secmod.db") em novos perfis utilizando este método. Esta não é a abordagem recomendada, e este método funciona apenas para os novos perfis.
Certuti
Pode utilizar certutil para atualizar a base de dados de certificados do Firefox a partir da linha de comandos. Consulte o site de apoio da Microsoft para mais informação.