Porovnání revizí

firefox enterprise, certificate authorites, CA

Dowiedz się, jak w programie Firefox Enterprise skonfigurować urzędy certyfikacji (CA).

[[Template:enterprise]] Jeśli w organizacji, do wydawania certyfikatów dla wewnętrznych serwerów, używane są prywatne urzędy certyfikacji (CA), a przeglądarki, takie jak Firefox nie zostaną skonfigurowane tak, by rozpoznawały prywatne certyfikaty, przeglądarki te mogą wyświetlać błędy. Należy to zrobić odpowiednio wcześnie, aby użytkownicy nie mieli problemów z dostępem do stron internetowych. __TOC__ Certyfikaty CA można dodać za pomocą jednej z następujących metod. =Użycie wbudowanej obsługi dla systemów Windows, macOS i Android (zalecane)= Domyślnie Firefox w systemach Windows, macOS i Android będzie wyszukiwał i korzystał z zewnętrznych urzędów certyfikacji, które zostały dodane do magazynu certyfikatów systemu operacyjnego. Jeśli system operacyjny został skonfigurowany tak, by ufał prywatnym urzędom certyfikacji, Firefox powinien ufać tym urzędom certyfikacji bez konieczności dodatkowej konfiguracji. Tą funkcją można sterować za pomocą pola wyboru '''Firefox może automatycznie ufać zewnętrznym certyfikatom głównym zainstalowanym przez użytkownika''' znajdującego się w ustawieniach Firefoksa na karcie {menu Prywatność i bezpieczeństwo} w sekcji '''Certyfikaty'''. Alternatywnie, tą funkcją steruje preferencja {pref security.enterprise_roots.enabled} znajdująca się w głównych ustawieniach Firefoksa dostępnych po wpisaniu w pasku adresu '''about:config'''. ==Wsparcie dla przedsiębiorstw w systemie Windows== Firefox może być skonfigurowany do automatycznego wyszukiwania i importowania urzędów certyfikacji (CA), które zostały dodane do magazynu certyfikatów Windows przez użytkownika lub administratora. #[[Template:aboutconfig]] #Wyszukaj preferencję {pref security.enterprise_roots.enabled}. # Kliknij przycisk ''Przełącz'' [[Image:Fx71aboutconfig-ToggleButton]] znajdujący się po prawej stronie tej preferencji, aby zmienić jej wartość na {pref true}. # Uruchom ponownie Firefoksa. Firefox sprawdzi lokalizację rejestru ''HKLM\SOFTWARE\Microsoft\SystemCertificates'' (odpowiadającą fladze API ''CERT_SYSTEM_STORE_LOCAL_MACHINE'') w poszukiwaniu urzędów certyfikacji (CA), które są zaufane do wystawiania certyfikatów TLS dla uwierzytelniania serwerów WWW. Wszystkie takie urzędy certyfikacji (CA) zostaną zaimportowane i zaufane przez Firefoksa, choć mogą nie pojawić się w menedżerze certyfikatów. Administracja tymi urzędami certyfikacji (CA) powinna odbywać się za pomocą wbudowanych narzędzi Windows lub innych narzędzi firm trzecich. Firefox przeszuka również lokalizacje rejestru ''HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates'' oraz ''HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates'' (odpowiadające odpowiednio flagom ''API CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY'' oraz ''CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE''). ==Wsparcie dla systemu macOS Enterprise== Ta funkcja działa również dla systemu macOS poprzez importowanie certyfikatów głównych znajdujących się w łańcuchu kluczy systemu macOS. =Używanie zasad do importowania certyfikatów CA= Do dodania certyfikatów CA do Firefoksa można użyć [[Customize Firefox using Group Policy (Windows)|Lokalnych zasad grup]]. *Ustawienie klucza ''ImportEnterpriseRoots'' na '''true''' spowoduje, że Firefox będzie ufał certyfikatom głównym. Zalecamy tę opcję, aby dodać do Firefoksa zaufanie do prywatnej infrastruktury dla prywatnego PKI. Jest to równoznaczne z ustawieniem preferencji {pref security.enterprise_roots.enabled}, jak opisano powyżej w sekcji [[#w_uzycie-wbudowanej-obslugi-dla-systemow-windows-macos-i-android-zalecane|Użycie wbudowanej obsługi dla systemów Windows, macOS i Android (zalecane)]]. Klucz ''Install'' domyślnie wyszukuje certyfikaty w lokalizacjach wymienionych poniżej. Można określić w pełni kwalifikowaną ścieżkę. Zobacz przykłady przedstawione [https://mozilla.github.io/policy-templates/#certificate tutaj]. Jeśli Firefox nie znajdzie czegoś w pełni kwalifikowanej ścieżce, przeszuka domyślne katalogi: **Windows ***%USERPROFILE%\AppData\Local\Mozilla\Certificates ***%USERPROFILE%\AppData\Roaming\Mozilla\Certificates **macOS ***/Library/Application Support/Mozilla/Certificates ***~/Library/Application Support/Mozilla/Certificates **Linux ***/usr/lib/mozilla/certificates ***/usr/lib64/mozilla/certificates =Linux= ==Użycie p11-kit-trust.so w systemie Linux== Certyfikaty mogą być programowo importowane poprzez użycie ''p11-kit-trust<!-- -->.so'' z ''p11-kit''. Zauważ, że niektóre dystrybucje, takie jak Red Hat, robią to domyślnie poprzez dostarczenie ''p11-kit-trust<!-- -->.so'' jako ''libnsscbki<!-- -->.so''. Można to zrobić poprzez ustawienie [https://mozilla.github.io/policy-templates#securitydevices polisy SecurityDevices] w '''/etc/firefox/policies/policies.json''' i dodanie wpisu wskazującego na lokalizację ''p11-kit-trust<!-- -->.so'' w systemie, poprzez ręczne dodanie go poprzez menadżera ''Security Devices'' w preferencjach, lub poprzez użycie narzędzia modutil. ==Wstępne wczytanie baz danych certyfikatów (tylko nowe profile)== Niektórzy użytkownicy, [[Profile Manager - Create, remove or switch Firefox profiles|tworząc nowy profil w Firefoksie]] ręcznie instalują potrzebne im certyfikaty, a następnie dystrybuują różne pliki .db (''cert9.db'', ''key4.db'' i ''secmod.db'') do nowych profili używając tej metody. Nie jest to zalecane podejście, a ta metoda działa tylko dla nowych profili. ==Certutil== Do aktualizacji baz danych certyfikatów Firefoksa można z linii poleceń użyć narzędzia '''Certutil'''. Więcej informacji na ten temat znajduje się na [https://docs.microsoft.com/pl-pl/windows-server/administration/windows-commands/certutil witrynie wsparcia Microsoftu].