Firefox で認証局 (CA) をセットアップする

Firefox for Enterprise Firefox for Enterprise 最終更新日時: 4日, 5時間 ago
This is a machine-generated translation of the English content. It has not been reviewed by a human, and may contain errors. If you would like to revise this content, you can start here.

この記事は、組織内のコンピューター上の Firefox をセットアップしたい IT 管理者向けです。

ご所属の組織でプライベートな認証局 (CA) を使用して内部サーバー向けの証明書を発行している場合、これらのプライベートな証明書を読み込む構成に設定されていないと、Firefox などのブラウザーでエラーが表示されることがあります。これをあらかじめ設定しておけば、組織内のユーザーがウェブサイトへのアクセスで問題を抱えることがなくなります。

これらの認証局証明書 (CA 証明書) は、以下のいずれかの方法で追加できます。

Windows、macOS、Android の組み込みサポートを使用する (推奨)

既定で、Windows、macOS、Android 版の Firefox は、オペレーティングシステムの証明書ストアに追加されたサードパーティの CA を検索して利用します。そのため、オペレーティングシステムが組織のプライベート CA を信頼するように設定されている場合、Firefox は追加の設定を必要とせずにそれらの CA を信頼します。この機能は、about:preferencesPrivacy & Security タブにある インストールしたサードパーティのルート証明書を Firefox に自動的に信頼させる のチェックボックスで制御できます。あるいは、about:configsecurity.enterprise_roots.enabled 設定でこの機能を制御します。

Windows エンタープライズサポート

Firefox は、ユーザーやシステム管理者によって Windows 証明書ストアに追加された認証局を自動的に検索してインポートするよう構成できます。

  1. アドレスバーabout:config と入力し、EnterReturn キーを押します。
    警告ページが表示されます。危険性を承知の上で使用する をクリックし、about:config ページを開いてください。
  2. security.enterprise_roots.enabled の設定を検索してください。
  3. この設定の横の 切り替え Fx71aboutconfig-ToggleButton ボタンをクリックして値を true に変更してください。
  4. Firefox を再起動します。

Firefox が HKLM\SOFTWARE\Microsoft\SystemCertificates レジストリーの場所 (API フラグ CERT_SYSTEM_STORE_LOCAL_MACHINE に対応) で、TLS ウェブサーバー認証のために発行された証明書に信頼されている認証局 (CA) を調べます。このような CA は Firefox にインポートされ、信頼されますが、Firefox の証明書マネージャーには表示されません。これらの CA の管理は、Windows 組み込みのツールや他のサードパーティのユーティリティを使用して行う必要があります。

Firefox は、HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates および HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates のレジストリーの場所も検索します (それぞれ、API フラグ CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY および CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE に対応)。

macOS エンタープライズサポート

この機能は、macOS システムの鍵チェーンで見つかったルートを読み込むことにより、macOS でも動作します。

ポリシーを使用して CA 証明書をインポートする

エンタープライズポリシー を利用して Firefox に CA 証明書を追加できます。

  • ImportEnterpriseRoots キーを true に設定すると、Firefox はルート証明書を信頼するようになります。このオプションで Firefox にプライベート PKI の信頼を追加することを推奨します。これは、上記の Windows、macOS、Android の組み込みサポートを使用する (推奨) のセクションで説明されている security.enterprise_roots.enabled の設定と同等です。
  • Install キーは、既定で以下の場所にリストされた証明書を検索します。完全修飾パスを指定できます (こちらの例 を参照)。Firefox が完全修飾パスで何も見つけられない場合、既定のディレクトリーを検索します:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Linux

Linux で p11-kit-trust.so を使用する

証明書は、p11-kitp11-kit-trust.so を使用してプログラムでインポートできます。これは、/etc/firefox/policies/policies.jsonSecurityDevices ポリシー を設定し、システム内の p11-kit-trust.so の場所を指すエントリーを追加するか、設定のセキュリティデバイスマネージャーから手動で追加するか、modutil ユーティリティを使用することで行えます。

証明書データベースをプリロードする (新しいプロファイルのみ)

一部のユーザーは、Firefox で新しいプロファイルを作成し、手動で必要な証明書をインストールし、さまざまな .db ファイル (cert9.db, key4.db, secmod.db) をこの方法で新しいプロファイルに配布します。これは推奨されるアプローチではなく、この方法は新しいプロファイルに対してのみ機能します。

Certutil

certutil を使用して、コマンドラインから Firefox の証明書データベースを更新できます。詳しい情報は、Microsoft サポートサイト を参照してください。

以下の人々がこの記事の執筆を手伝ってくれました:

marsf
Illustration of hands

ボランティア

あなたの専門知識を成長させ、他の人と共有してください。質問に答えたり、ナレッジベースを改善したりしてください。

詳しく学ぶ