Nastavení certifikačních autorit ve Firefoxu

Firefox for Enterprise Firefox for Enterprise Poslední aktualizace: před 2 týdny

Tento článek je určen pro správce IT, kteří chtějí nastavit Firefox na počítačích v jejich organizaci.

Pokud vaše organizace k vydávání certifikátů pro interní servery používá soukromé certifikační autority, mohou prohlížeče, jako je Firefox, zobrazovat chyby, pokud je nenakonfigurujete tak, aby tyto soukromé certifikáty rozpoznávaly. To je třeba provést již na samém počátku, aby uživatelé neměli problémy s přístupem k webovým stránkám.

Tyto certifikáty lze přidat jedním z následujících způsobů.

Použití vestavěné podpory pro Windows, macOS a Android (doporučeno)

Ve výchozím nastavení Firefox v systémech Windows, macOS a Android vyhledá a použije certifikační autority třetích stran, které byly přidány do úložiště certifikátů operačního systému. Pokud jste tedy nakonfigurovali operační systém tak, aby důvěřoval soukromým certifikačním autoritám vaší organizace, Firefox by těmto certifikačním autoritám měl důvěřovat bez nutnosti jeho další konfigurace. Tuto funkci lze ovládat v nastavení Firefoxu v sekci Soukromí a zabezpečení pomocí volby Povolit Firefoxu automaticky důvěřovat kořenovým certifikátům třetích stran, které nainstalujete. Popřípadě tuto funkci ovládá předvolba security.enterprise_roots.enabled v about:config.

Firemní podpora systému Windows

Firefox lze nakonfigurovat tak, aby automaticky vyhledával a importoval certifikační autority, které do úložiště certifikátů systému Windows přidal uživatel nebo správce.

  1. Do adresního řádku zadejte about:config a stiskněte klávesu EnterReturn.
    Může se zobrazit upozornění. Pokračovat na stránku about:config budete po kliknutí na tlačítko Beru na vědomí a chci pokračovat.
  2. Vyhledejte předvolbu security.enterprise_roots.enabled na hodnotu true.
  3. Klikněte u této předvolby na tlačítko Přepnout Fx71aboutconfig-ToggleButton pro změnu její hodnoty na true.
  4. Restartujte Firefox.

Firefox provede kontrolu umístění registru HKLM\SOFTWARE\Microsoft\SystemCertificates (odpovídající API příznaku CERT_SYSTEM_STORE_LOCAL_MACHINE) na přítomnost certifikačních autorit, které jsou důvěryhodné k vydávání certifikátů pro ověřování TLS webových serverů. Všechny takové certifikační autority budou importovány a Firefox jim bude důvěřovat, i když se nemusí zobrazit ve správci certifikátů Firefoxu. Správa těchto certifikačních autorit by měla probíhat pomocí nástrojů zabudovaných ve Windows nebo pomocí jiných nástrojů třetích stran.

Firefox bude také prohledávat umístění registrů HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates a HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (odpovídající API příznakům CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY a CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE).

Firemní podpora systému macOS

Tato funkce funguje také pro systém macOS, a to tak, že importuje kořenové certifikáty nalezené v systémovém svazku klíčů systému macOS.

Použití pravidel za účelem importu certifikátů certifikační autority

Přidat certifikáty certifikační autority do Firefoxu lze pomocí firemního pravidla.

  • Nastavení klíče ImportEnterpriseRoots na hodnotu true způsobí, že Firefox bude důvěřovat kořenovým certifikátům. Tuto možnost doporučujeme jako způsob, jak přidat důvěryhodnost soukromé PKI do Firefoxu. Odpovídá nastavení předvolby security.enterprise_roots.enabled, jak je popsáno výše v kapitole Použití vestavěné podpory pro Windows, macOS a Android (doporučeno).
  • Klíč Install ve výchozím nastavení vyhledává certifikáty v níže uvedených umístěních. Můžete nicméně zadat absolutní cestu (viz příklady uvedené zde). Pokud v ní Firefox nic nenajde, prohledá výchozí adresáře:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Linux

Použití modulu p11-kit-trust.so v Linuxu

Certifikáty je možné programově importovat pomocí modulu p11-kit-trust.so z nástroje p11-kit. To lze provést nastavením pravidla SecurityDevices v souboru /etc/firefox/policies/policies.json a přidáním položky ukazující na umístění modulu p11-kit-trust.so v systému, ručním přidáním pomocí správce bezpečnostních zařízení v nastavení Firefoxu nebo pomocí nástroje modutil.

Přednačtení databází certifikátů (pouze nové profily)

Někteří uživatelé si ve Firefoxu vytvoří nový profil, ručně nainstalují potřebné certifikáty a poté touto metodou distribuují různé .db soubory (cert9.db, key4.db a secmod.db) do nových profilů. Tento postup se nedoporučuje a tato metoda funguje pouze pro nové profily.

Certutil

Nástroj certutil lze použít k aktualizaci databází certifikátů Firefoxu z příkazového řádku. Další informace naleznete na stránkách podpory společnosti Microsoft.

S napsáním tohoto článku pomohli tihle úžasní lidé:

soucet
Illustration of hands

Zapojte se

Rozvíjejte a sdílejte své znalosti s ostatními. Odpovídejte na dotazy a vylepšujte naše články nápovědy.

Zjistit více