Налаштування центрів сертифікації (ЦС) у Firefox

Firefox for Enterprise Firefox for Enterprise Останнє оновлення:

Шаблон "Enterprise" не існує або не має затвердженої редакції.

Якщо ваша організація використовує приватні центри сертифікації (ЦС) для випуску сертифікатів для внутрішніх серверів, такі браузери, як Firefox, можуть виводити помилки, якщо ви не налаштуєте їх на розпізнавання цих приватних сертифікатів. Це слід зробити заздалегідь, щоб ваші користувачі не мали проблем з доступом до вебсайтів.

Ви можете додати ці сертифікати ЦС одним із наведених далі способів.

Використати політики, щоб імпорувати сертифікати ЦС (рекомендовано)

Починаючи з Firefox версії 64, корпоративні політики можуть використовуватись, щоб додавати сертифікати ЦС у Firefox.

  • Якщо вказати ключу ImportEnterpriseRoots значення true, Firefox довірятиме кореневим сертифікатам. Ми радимо використовувати цей параметр для налаштування довіри до приватного PKI у Firefox. Це еквівалентно встановленню параметра security.enterprise_roots.enabled як описано у розділі Вбудована підтримка Windows і macOS.
  • Типово кнопка Установити шукатиме сертифікати у вказаних далі місцях. Починаючи з версії Firefox 65, ви можете вказати повний шлях (перегляньте cert3.der і cert4.pem у цьому прикладі). Якщо Firefox не знайде нічого за вказаним вами повним шляхом, він виконає пошук в усталених каталогах:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Використати вбудовану підтримку Windows і macOS

Встановлення параметру security.enterprise_roots.enabled значення true на сторінці about:config увімкне підтримку корпоративних root-користувачів Windows і macOS.

Підтримка Windows Enterprise

Починаючи з версії 49, Firefox можна налаштувати на автоматичний пошук та імпорт центрів сертифікації, доданих до сховища сертифікатів Windows користувачем або адміністратором.

  1. Введіть about:config у панелі адреси та натисніть EnterReturn.
    Може з'явитися сторінка з попередженням. Виберіть Погодитись на ризик і продовжити для переходу на сторінку about:config.
  2. Знайдіть параметр security.enterprise_roots.enabled.
  3. Клацніть кнопоку Перемикача Fx71aboutconfig-ToggleButton навпроти цього параметра, щоб змінити його значення на true.
  4. Перезапустіть Firefox.

Firefox перевірить реєстр HKLM\SOFTWARE\Microsoft\SystemCertificates (що відповідає прапору API CERT_SYSTEM_STORE_LOCAL_MACHINE) на наявність центрів сертифікації, довірених для видачі сертифікатів для автентифікації вебсервера TLS. Будь-які такі центри будуть імпортовані та довірені Firefox, хоча вони можуть не показуватися в менеджері сертифікатів Firefox. Адміністрування цих центрів має відбуватися за допомогою вбудованих інструментів Windows або інших утиліт сторонніх виробників. Firefox версії 52: Firefox також виконає пошук у каталогах реєстру HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates і HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (відповідно до прапорів API CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY і CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE).

Примітка: Це налаштування імпортує сертифікати лише зі сховища довірених кореневих центрів сертифікації Windows, а не з відповідного сховища проміжних центрів сертифікації. Читайте обговорення 1473573. Якщо у вас виникають помилки unknown issuer навіть після увімкнення цього параметра, спробуйте налаштувати ваш TLS-сервер так, щоб він включав необхідні проміжні сертифікати у рукостискання TLS.

Підтримка macOS Enterprise

Починаючи з Firefox 63, ця функція також працює для macOS, імпортуючи корені, знайдені в системному наборі ключів macOS.

Linux

Використати p11-kit-trust.so на Linux

Сертифікати можна програмно імпортувати за допомогою p11-kit-trust.so з p11-kit ( зауважте, що деякі дистрибутиви, наприклад, на базі Red Hat, вже роблять це усталено, постачаючи p11-kit-trust.so як libnsscbki.so).

Це можна зробити налаштувавши SecurityDevices політику в /etc/firefox/policies/policies.json і додавши запис, що вказує на розташування p11-kit-trust.so у системі, додавши його вручну через менеджер “Пристрої безпеки” у Налаштуваннях або за допомогою утиліти modutil.

Попереднє завантаження баз даних сертифікатів (лише для нових профілів)

Деякі люди створюють новий профіль у Firefox, вручну встановлюють потрібні їм сертифікати, а потім розподіляють різні файли баз даних (cert9.db, key4.db і secmod.db) в нові профілі, використовуючи цей метод. Це не рекомендований підхід, і цей метод працює лише для нових профілів.

Certutil

Ви можете використовувати certutil для оновлення баз даних сертифікатів Firefox з командного рядка. Докладнішу інформацію можна знайти на сайті підтримки Microsoft.

Ця стаття допомогла?

Зачекайте...

Цю статтю допомогли написати такі чудові люди:

Ihor Hordiichuk
Illustration of hands

Станьте волонтером

Примножуйте ваші знання та діліться ними з іншими. Відповідайте на запитання та поповнюйте нашу базу знань.

Докладніше