Nastavení certifikačních autorit ve Firefoxu

Šablona "Enterprise" neexistuje nebo nemá schválenou verzi.

Pokud vaše organizace k vydávání certifikátů pro interní servery používá soukromé certifikační autority, mohou prohlížeče, jako je Firefox, zobrazovat chyby, pokud je nenakonfigurujete tak, aby tyto soukromé certifikáty rozpoznávaly. To je třeba provést již na samém počátku, aby uživatelé neměli problémy s přístupem k webovým stránkám.

Tyto certifikáty lze přidat jedním z následujících způsobů.

Použití pravidel pro import certifikátů (doporučeno)

Počínaje verzí Firefoxu 64 lze k přidání certifikátů do Firefoxu použít pravidlo.

  • Nastavení klíče ImportEnterpriseRoots na hodnotu true způsobí, že bude Firefox důvěřovat kořenovým certifikátům. Tuto možnost doporučujeme pro přidání důvěryhodnosti soukromého PKI do Firefoxu. Je ekvivalentní nastavení předvolby security.enterprise_roots.enabled, jak je popsáno v kapitole Zabudovaná podpora systémů Windows a macOS níže.
  • Klíč Install ve výchozím nastavení vyhledá certifikáty v níže uvedených umístěních. Od verze Firefoxu 65 je možné zadat absolutní cestu (viz cert3.der a cert4.pem v tomto příkladu ). Pokud Firefox na absolutní cestě nic nenajde, bude prohledávat výchozí adresáře:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Použití zabudované podpory systémů Windows a macOS

Nastavením předvolby security.enterprise_roots.enabled na hodnotu true v about:config zapnete podporu firemních kořenových certifikátů systému Windows a macOS.

Firemní podpora systému Windows

Počínaje verzí 49 lze Firefox nakonfigurovat tak, aby automaticky vyhledával a importoval certifikační autority, které do úložiště certifikátů systému Windows přidal uživatel nebo správce.

  1. Do adresního řádku zadejte about:config a stiskněte klávesu EnterReturn.
    Může se zobrazit upozornění. Pokračovat na stránku about:config budete po kliknutí na tlačítko Beru na vědomí a chci pokračovat.
  2. Vyhledejte předvolbu security.enterprise_roots.enabled na hodnotu true.
  3. Klikněte u této předvolby na tlačítko Přepnout Fx71aboutconfig-ToggleButton pro změnu její hodnoty na true.
  4. Restartujte Firefox.

Firefox provede kontrolu umístění registru HKLM\SOFTWARE\Microsoft\SystemCertificates (odpovídající API příznaku CERT_SYSTEM_STORE_LOCAL_MACHINE) na přítomnost certifikačních autorit, které jsou důvěryhodné k vydávání certifikátů pro ověřování TLS webových serverů. Všechny takové certifikační autority budou importovány a Firefox jim bude důvěřovat, i když se nemusí zobrazit ve správci certifikátů Firefoxu. Správa těchto certifikačních autorit by měla probíhat pomocí nástrojů zabudovaných ve Windows nebo pomocí jiných nástrojů třetích stran.

Verze Firefoxu 52: Firefox bude také prohledávat umístění registrů HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates a HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (odpovídající API příznakům CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY a CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE).

Poznámka: Toto nastavení pouze importuje certifikáty z úložiště důvěryhodných kořenových certifikačních autorit systému Windows, nikoli z odpovídajícího úložiště zprostředkujících certifikačních autorit. Viz chyba 1473573. Pokud i po zapnutí této funkce dochází k chybám neznámý vydavatel, zkuste svůj TLS server nakonfigurovat tak, aby při TLS handshakingu uváděl potřebné zprostředkující certifikáty.

Firemní podpora systému macOS

Počínaje Firefoxem 63 funguje tato funkce také pro systém macOS, a to tak, že importuje kořenové certifikáty nalezené v systémovém svazku klíčů systému macOS.

Linux

Použití modulu p11-kit-trust.so v Linuxu

Certifikáty lze programově importovat pomocí modulu p11-kit-trust.so z nástroje p11-kit (upozorňujeme, že některé distribuce, například distribuce založené na systému Red Hat, to již dělají ve výchozím nastavení a dodávají modul p11-kit-trust.so jako libnsscbki.so).

To lze provést nastavením pravidla SecurityDevices v souboru /etc/firefox/policies/policies.json a přidáním položky ukazující na umístění modulu p11-kit-trust.so v systému, ručním přidáním pomocí správce „Bezpečnostní zařízení“ v Předvolbách nebo pomocí nástroje modutil.

Přednačtení databází certifikátů (pouze nové profily)

Někteří lidé si ve Firefoxu vytvoří nový profil, ručně nainstalují potřebné certifikáty a poté touto metodou distribuují různé db soubory (cert9.db, key4.db a secmod.db) do nových profilů. Tento postup se nedoporučuje a tato metoda funguje pouze pro nové profily.

Certutil

Nástroj certutil lze použít k aktualizaci databází certifikátů Firefoxu z příkazového řádku. Další informace naleznete na stránkách podpory společnosti Microsoft.

Byl tento článek srozumitelný?

Počkejte prosím...

S napsáním tohoto článku pomohli tihle úžasní lidé:

soucet
Illustration of hands

Zapojte se

Rozvíjejte a sdílejte své znalosti s ostatními. Odpovídejte na dotazy a vylepšujte naše články nápovědy.

Zjistit více