Porovnání revizí

Μάθετε πώς να ρυθμίσετε τις αρχές πιστοποιητικών στο Firefox για επιχειρήσεις.

[[Template:Enterprise]] Εάν ο οργανισμός σας χρησιμοποιεί ιδιωτικές αρχές πιστοποιητικών (CA) για την έκδοση πιστοποιητικών για τους εσωτερικούς διακομιστές σας, τα προγράμματα περιήγησης, όπως το Firefox, ενδέχεται να εμφανίσουν σφάλματα εκτός αν τα ρυθμίσετε έτσι, ώστε να αναγνωρίζουν αυτά τα ιδιωτικά πιστοποιητικά. Αυτό θα πρέπει να γίνει νωρίς, ώστε οι χρήστες σας να μην έχουν προβλήματα με την πρόσβαση σε ιστοτόπους. Μπορείτε να προσθέσετε αυτά τα πιστοποιητικά CA με κάποια από τις εξής μεθόδους. =Χρήση πολιτικών για εισαγωγή πιστοποιητικών CA (προτείνεται)= Ξεκινώντας από την [[Find what version of Firefox you are using|έκδοση]] 64 του Firefox, μπορεί να χρησιμοποιηθεί η [[Customizing Firefox Using Group Policy (Windows)|πολιτική για επιχειρήσεις]] για την προσθήκη πιστοποιητικών CA στο Firefox. *Ρυθμίζοντας το κλειδί ''ImportEnterpriseRoots'' σε '''true''', το Firefox θα θεωρεί αξιόπιστα τα πιστοποιητικά ρίζας. Προτείνουμε αυτήν την επιλογή για τον ορισμό ενός ιδιωτικού PKI ως αξιόπιστου στο Firefox. Ισοδυναμεί με τη ρύθμιση της προτίμησης {pref security.enterprise_roots.enabled}, όπως περιγράφεται στην ενότητα ενσωματωμένης υποστηρίξης των Windows και macOS, παρακάτω. *Από προεπιλογή, το κλειδί ''Install'' θα αναζητά πιστοποιητικά στις τοποθεσίες που αναγράφονται παρακάτω. Ξεκινώντας από το Firefox 65, μπορείτε να καθορίσετε μια κατάλληλη διαδρομή (δείτε τα ''cert3.der'' και ''cert4.pem'' σε [https://github.com/mozilla/policy-templates/blob/master/README.md#Certificates αυτό το παράδειγμα]). Εάν το Firefox δεν εντοπίσει κάτι στη διαδρομή αυτή, θα κάνει αναζήτηση στους προεπιλεγμένους καταλόγους: **Windows ***%USERPROFILE%\AppData\Local\Mozilla\Certificates ***%USERPROFILE%\AppData\Roaming\Mozilla\Certificates **macOS ***/Library/Application Support/Mozilla/Certificates ***~/Library/Application Support/Mozilla/Certificates **Linux ***/usr/lib/mozilla/certificates ***/usr/lib64/mozilla/certificates =Χρήση ενσωματωμένης υποστήριξης των Windows και macOS= Ρυθμίζοντας την προτίμηση {pref security.enterprise_roots.enabled} σε «true» από τη σελίδα ''about:config'', θα ενεργοποιηθεί η υποστήριξη για ρίζες επιχειρήσεων στα Windows και MacOS. ==Υποστήριξη για επιχειρήσεις στα Windows== Ξεκινώντας από την έκδοση 49, το Firefox μπορεί να ρυθμιστεί έτσι, ώστε να κάνει αυτόματα αναζήτηση και εισαγωγή των CA που έχουν προστεθεί στο κατάστημα πιστοποιητικών των Windows από κάποιον χρήστη ή διαχειριστή. #[[Template:aboutconfig]] #Αναζητήστε την προτίμηση {pref security.enterprise_roots.enabled}. #Κάντε κλικ στο κουμπί ''εναλλαγής'' [[Image:Fx71aboutconfig-ToggleButton]] δίπλα στην προτίμηση, ώστε να αλλάξετε την τιμή της σε {pref true}. #Επανεκκινήστε το Firefox. Το Firefox θα κάνει αναζήτηση στην τοποθεσία ''HKLM\SOFTWARE\Microsoft\SystemCertificates'' του μητρώου (αντιστοιχεί στη σήμανση API ''CERT_SYSTEM_STORE_LOCAL_MACHINE'') για αξιόπιστες CA που εκδίδουν πιστοποιητικά για ταυτοποίηση διακομιστών TLS. Όλες αυτές οι CA θα εισαχθούν στο Firefox και θα οριστούν ως αξιόπιστες, αν και ενδέχεται να μην εμφανίζονται στη Διαχείριση πιστοποιητικών του Firefox. Η διαχείριση αυτών των CA θα πρέπει να γίνεται μέσω των ενσωματωμένων εργαλείων των Windows ή άλλων εργαλείων από τρίτους κατασκευαστές. '''Έκδοση 52 του Firefox:''' Το Firefox θα κάνει αναζήτηση και στις τοποθεσίες ''HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates'' και ''HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates'' του μητρώου (αντιστοιχούν στις σημάνσεις API ''CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY'' και ''CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE'', αντίστοιχα). {note}'''Σημείωση:''' Αυτή η ρύθμιση εισαγάγει μόνο τα πιστοποιητικά από το κατάστημα αξιόπιστων αρχών έκδοσης πιστοποιητικών ρίζας, όχι το αντίστοιχο κατάστημα αρχών ενδιάμεσων πιστοποιητικών. Δείτε το [https://bugzilla.mozilla.org/show_bug.cgi?id=1473573 σφάλμα 1473573]. Εάν αντιμετωπίζετε σφάλματα που αναφέρουν «αγνώστος εκδότης», ακόμα και μετά την ενεργοποίηση αυτής της λειτουργίας, δοκιμάστε να ρυθμίσετε τον διακομιστή TLS σας έτσι, ώστε να περιλαμβάνει τα απαραίτητα ενδιάμεσα πιστοποιητικά στη χειραψία TLS.{/note} ==Υποστήριξη για επιχειρήσεις στο macOS== Ξεκινώντας από το Firefox 63, αυτή η λειτουργία λειτουργεί και στο macOS, εισαγάγοντας τις ρίζες που βρίσκονται στην κλειδοθήκη συστήματος του MacOS. =Linux= ==Χρήση του p11-kit-trust<!-- -->.so στο Linux== Τα πιστοποιητικά μπορούν να εισαχθούν προγραμματιστικά με το ''p11-kit-trust<!-- -->.so'' από το ''p11-kit'' (σημειώστε ότι ορισμένες διανομές, όπως αυτές που βασίζονται στο Red Hat, το κάνουν ήδη αυτό από προεπιλογή, διανέμοντας το ''p11-kit-trust<!-- -->.so'' ως ''libnsscbki<!-- -->.so''). Αυτό μπορεί να γίνει ρυθμίζοντας την [https://github.com/mozilla/policy-templates#securitydevices πολιτική SecurityDevices] στο '''/etc/firefox/policies/policies.json''' και προσθέτοντας μια καταχώρηση που να «δείχνει» στην τοποθεσία του ''p11-kit-trust<!-- -->.so'' στο σύστημα, προσθέτοντάς το μη αυτόματα μέσω της διαχείρισης ασφαλών συσκευών στις Προτιμήσεις ή του εργαλείου «modutil». ==Προφόρτωση των βάσεων δεδομένων πιστοποιητικών (μόνο για νέα προφίλ)== Ορισμένοι χρήστες δημιουργούν νέο προφίλ στο Firefox, εγκαθιστούν μη αυτόματα τα πιστοποιητικά που χρειάζονται και έπειτα, διανέμουν τα διάφορα αρχεία db (''cert9.db'', ''key4.db'' και ''secmod.db'') στα νέα προφίλ με αυτήν τη μέθοδο. Αυτή η προσέγγιση δεν προτείνεται και αυτή η μέθοδος λειτουργεί μόνο για νέα προφίλ. ==Certutil== Μπορείτε να χρησιμοποιήσετε το certutil για να ενημερώσετε τις βάσεις δεδομένων πιστοποιητικών του Firefox από τη γραμμή εντολών. Δείτε τον [https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certutil ιστότοπο υποστήριξης της Microsoft] για περισσότερες πληροφορίες.