Como configurar autoridades certificadoras no Firefox

Firefox for Enterprise Firefox for Enterprise Última atualização: 3 dias, 22 horas ago
This is a machine-generated translation of the English content. It has not been reviewed by a human, and may contain errors. If you would like to revise this content, you can start here.

Este artigo é destinado a administradores de TI que queiram configurar o Firefox nos computadores de sua organização.

Caso sua organização use autoridades certificadoras próprias para emitir certificados para seus servidores internos, navegadores como o Firefox podem exibir mensagens de erro, a menos que você os configure para reconhecer esses certificados próprios. Isto deve ser feito com antecedência, para que seus usuários não tenham dificuldade em acessar os sites.

Você pode adicionar certificados dessas autoridades certificadoras usando um dos métodos a seguir.

Use suporte incorporado para Windows, macOS e Android (recomendado)

Por padrão, o Firefox em Windows, macOS e Android procura e utiliza autoridades certificadoras de terceiros que tenham sido adicionadas ao repositório de certificados do sistema operacional. Portanto, se você configurou seu sistema operacional para confiar nas autoridades certificadoras próprias da sua organização, o Firefox deve confiar nessas autoridades certificadoras sem necessidade de configuração adicional. Este recurso pode ser controlado na aba Privacy & Security de about:preferences usando a caixa de seleção Permitir que o Firefox confie automaticamente em certificados raiz de terceiros que você instalar. Alternativamente, a preferência security.enterprise_roots.enabled em about:config controla este recurso.

Suporte corporativo em Windows

O Firefox pode ser configurado para automaticamente procurar e importar autoridades certificadoras que tenham sido adicionadas ao repositório de certificados do Windows por um usuário ou administrador.

  1. Digite about:config na barra de endereços e tecle EnterReturn.
    Pode aparecer uma página de alerta. Clique em Aceitar o risco e continuar para ir para a página about:config.
  2. Procure a preferência security.enterprise_roots.enabled.
  3. Clique no botão Alternar Fx71aboutconfig-ToggleButton ao lado desta preferência para alterar seu valor para true.
  4. Reinicie o Firefox.

O Firefox inspeciona no local de registros HKLM\SOFTWARE\Microsoft\SystemCertificates (correspondente ao flag de API CERT_SYSTEM_STORE_LOCAL_MACHINE) as autoridades certificadoras consideradas confiáveis para emitir certificados para autenticação TLS de servidores web. Quaisquer autoridades certificadoras encontradas ali são importadas e consideradas confiáveis pelo Firefox, embora possam não aparecer no gerenciador de certificados do Firefox. A administração dessas autoridades certificadoras deve ser feita usando ferramentas incorporadas ao Windows ou outros utilitários de terceiros.

O Firefox também procura nos locais de registros HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates e HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (correspondentes aos flags de API CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY e CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE, respectivamente).

Suporte corporativo em macOS

Este recurso também funciona em macOS, importando raízes encontradas no chaveiro do sistema do macOS.

Use diretivas para importar certificados de autoridades certificadoras

Uma diretiva corporativa pode ser usada para adicionar certificados de autoridades certificadoras ao Firefox.

  • Definir a chave ImportEnterpriseRoots como true faz com que o Firefox confie em certificados raiz. Recomendamos esta opção para adicionar ao Firefox confiança em uma PKI própria. É o equivalente a configurar a preferência security.enterprise_roots.enabled, conforme descrito na seção Use suporte incorporado para Windows, macOS e Android (recomendado) acima.
  • Por padrão, a chave Install procura certificados nos locais indicados abaixo. Você pode especificar um caminho totalmente qualificado (veja os exemplos listados aqui). Se o Firefox não encontrar nada em seu caminho totalmente qualificado, ele procura nos diretórios padrão:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Linux

Usando p11-kit-trust.so em Linux

Certificados podem ser importados através de programação usando p11-kit-trust.so do p11-kit. Isto pode ser feito configurando a diretiva SecurityDevices em /etc/firefox/policies/policies.json e adicionando um item apontando para o local do p11-kit-trust.so no sistema, adicionando manualmente através do gerenciador de Dispositivos de segurança nas Preferências, ou usando o utilitário modutil.

Pré-carregando as bases de dados de certificados (apenas em novos perfis)

Alguns usuários irão criar um novo perfil no Firefox, instalar manualmente os certificados que precisam e depois distribuir os vários arquivos .db (cert9.db, key4.db e secmod.db) para novos perfis usando este método. Não é uma abordagem recomendada e este método só funciona em novos perfis.

Certutil

Você pode usar o certutil para atualizar as bases de dados de certificados do Firefox a partir da linha de comando. Busque mais informações no site de suporte da Microsoft.

Essas pessoas ajudaram a escrever este artigo:

Marcelo Ghelman
Illustration of hands

Torne-se um voluntário

Desenvolva e compartilhe sua especialidade com outras pessoas. Responda perguntas e aprimore nossa base de conhecimento.

Saiba mais