Настройка центров сертификации (CA) в Firefox

Firefox for Enterprise Firefox for Enterprise Последнее обновление: 2 недели, 4 дня ago

Эта статья предназначена для IT-администраторов, которые желают настроить Firefox на компьютерах внутри своей организации.

Если ваша организация использует частные центры сертификации (CA) для выпуска сертификатов для внутренних серверов, браузеры, такие как Firefox, могут отображать ошибки, пока вы не сконфигурируете их на распознавание этих частных сертификатов. Это следует сделать на ранней стадии, чтобы у ваших пользователей не возникало проблем с доступом к веб-сайтам.

Вы можете добавить эти CA-сертификаты с помощью одного из следующих методов.

Используйте встроенную поддержку для Windows, macOS и Android (рекомендуется)

По умолчанию Firefox в Windows, macOS и Android будет искать и использовать сторонние CA, которые были добавлены в хранилище сертификатов операционной системы. Так что, если вы настроили свою операционную систему так, чтобы она доверяла частным CA вашей организации, Firefox должен доверять этим CA без необходимости дополнительной настройки. Этой функцией можно управлять на вкладке Приватность и Защита в about:preferences, установив флажок Разрешить Firefox автоматически доверять установленным вами сторонним корневым сертификатам. В качестве альтернативы, этой функцией управляет параметр security.enterprise_roots.enabled в about:config.

Корпоративная поддержка Windows

Firefox можно сконфигурировать на автоматический поиск и импорт CA, которые добавляются в хранилище сертификатов Windows пользователем или администратором.

  1. Введите about:config в адресной строке и нажмите EnterReturn.
    Может появиться страница с предупреждением. Нажмите Принять риск и продолжить, чтобы перейти на страницу about:config.
  2. Найдите параметр security.enterprise_roots.enabled.
  3. Нажмите кнопку Переключить Fx71aboutconfig-ToggleButton рядом с этим параметром, чтобы изменить его значение на true.
  4. Перезапустите Firefox.

Firefox проверит расположение реестра HKLM\SOFTWARE\Microsoft\SystemCertificates (относящееся к флагу API CERT_SYSTEM_STORE_LOCAL_MACHINE) на наличие CA, которым доверено выпускать сертификаты для проверки подлинности веб-сервера TLS. Каждый CA будет импортирован в Firefox, и он будет им доверять, однако они могут не появиться в менеджере сертификатов Firefox. Администрирование этих CA должно осуществляться с помощью встроенных в Windows инструментов или других сторонних утилит.

Firefox будет также совершать поиск в расположениях реестра HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates и HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (относящихся к флагам API CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY и CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE соответственно).

Корпоративная поддержка macOS

Эта функция также работает в macOS, импортируя корневые сертификаты, найденные в системной связке ключей macOS.

Используйте политики для импорта CA-сертификатов

Для добавления CA-сертификатов в Firefox можно использовать корпоративную политику.

  • Установке ключа ImportEnterpriseRoots в значение true приведёт к тому, что Firefox будет доверять корневым сертификатам. Мы рекомендуем эту опцию для добавления в Firefox доверия к частным PKI. Это равноценно настройке параметра security.enterprise_roots.enabled, как описано выше в разделе Используйте встроенную поддержку для Windows, macOS и Android (рекомендуется).
  • Ключ Install по умолчанию совершает поиск по сертификатам в расположениях, перечисленных ниже. Вы можете указать полный путь (смотрите примеры, перечисленные здесь). Если Firefox что-то не найдёт в вашем полном пути, он будет искать в директориях по умолчанию:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Linux

Использование p11-kit-trust.so на Linux

Сертификаты могут импортироваться программно с помощью p11-kit-trust.so из p11-kit (обратите внимание, что некоторые дистрибутивы, например, на основе Red Hat, уже делают это по умолчанию, поставляя p11-kit-trust.so как libnsscbki.so).

Это можно сделать через настройку политики SecurityDevices в /etc/firefox/policies/policies.json и добавление записи, указывающей на расположение p11-kit-trust.so в системе, добавив его вручную с помощью менеджера Устройств безопасности (Security Devices) в Настройках или с помощью утилиты modutil.

Предзагрузка Базы данных сертификатов (только новые профили)

Некоторые пользователи создают новый профиль в Firefox, устанавливают вручную необходимые сертификаты и затем распространяют несколько .db-файлов (cert9.db, key4.db и secmod.db) по новым профилям с помощью этого метода. Этот подход не рекомендуется и этот метод работает только для новых профилей.

Certutil

Вы можете использовать certutil для обновления баз данных сертификатов Firefox из командной строки. Для получения дополнительной информации ознакомьтесь с сайтом поддержки Microsoft.

Помогла ли эта статья?

Пожалуйста, подождите...

Эти прекрасные люди помогли написать эту статью:

Illustration of hands

Станьте волонтёром

Растите и делитесь опытом с другими. Отвечайте на вопросы и улучшайте нашу базу знаний.

Подробнее