Firefox で認証局 (CA) をセットアップする

このテンプレート "Enterprise" は存在しないか承認されていません。

ご所属の組織でプライベートな認証局 (CA) を使用して内部サーバー向けの証明書を発行している場合、これらのプライベートな証明書を読み込む構成に設定されていないと、Firefox などのブラウザーでエラーが表示されることがあります。これをあらかじめ設定しておけば、組織内のユーザーがウェブサイトへのアクセスで問題を抱えることがなくなります。

これらの認証局証明書 (CA 証明書) は、以下のいずれかの方法で追加できます。

ポリシーを設定して認証局証明書をインポートする (推奨)

Firefox バージョン 64 以降で、エンタープライズポリシー を利用して Firefox に CA 証明書を追加できます。
  • ImportEnterpriseRoots キーを true に設定することにより、Firefox にルート証明書を信頼させます。私たちは、このオプションで Firefox にプライベート PKI の信頼性を追加することを推奨します。これは、下記の 組み込み Windows と macOS サポート のセクションで説明されている security.enterprise_roots.enabled を設定することと同等です。
  • 既定による Install キーは、以下のリストの場所に置かれた証明書を検索します。Firefox バージョン 65 以降、完全修飾パス名を指定できます (この例cert3.der および cert4.pem を参照)。指定した完全修飾パス名で Firefox が見つけられない場合は、既定のディレクトリーを検索します:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

組み込み Windows と macOS サポートを使用する

about:config ページで security.enterprise_roots.enabled の値を true に設定することにより、Windows および macOS のエンタープライズルートサポートが有効になります。

Windows エンタープライズサポート

バージョン 49 以降の Firefox は、ユーザーやシステム管理者によって Windows 証明書ストアに追加された認証局を自動的に検索してインポートするよう構成できます。

  1. アドレスバーabout:config と入力し、EnterReturn キーを押します。
    警告ページが表示されます。危険性を承知の上で使用する をクリックし、about:config ページを開いてください。
  2. security.enterprise_roots.enabled の設定を検索してください。
  3. この設定の横の 切り替え Fx71aboutconfig-ToggleButton ボタンをクリックして値を true に変更してください。
  4. Firefox を再起動します。

Firefox が HKLM\SOFTWARE\Microsoft\SystemCertificates レジストリーの場所 (API フラグ CERT_SYSTEM_STORE_LOCAL_MACHINE に対応) で、TLS ウェブサーバー認証のために発行された証明書に信頼されている認証局 (CA) を調べます。このような CA は Firefox にインポートされ、信頼されますが、Firefox の証明書マネージャーには表示されません。これらの CA の管理者は、Windows に組み込みのツールや他のサードパーティのユーティリティを使用して正しく配置しておく必要があります。

Firefox バージョン 52: Firefox は、HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates および HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates のレジストリーの場所も検索します (それぞれ、API フラグ CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY および CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE に対応)。

注記: この設定は、中間認証局ストアではなく、Windows の信頼されたルート証明機関の証明書ストアからの証明書のみをインポートします (bug 1473573 を参照)。この機能を有効にした後で 発行者不明 のエラーが発生した場合は、TLS サーバーに、TLS ハンドシェークで必要な中間証明書を含めるよう構成してみてください。

macOS エンタープライズサポート

Firefox バージョン 63 以降、この機能は、macOS システムの鍵チェーンで見つかったルートを読み込むことにより、macOS でも動作します。

Linux

Linux で p11-kit-trust.so を使用する

証明書は、p11-kit から p11-kit-trust.so を使用することにより、プログラム的にインポートすることができます。(Red Hat ベースなど一部のディストリビューションでは、p11-kit-trust.solibnsscbki.so として出荷することにより既定で設定されています)。

これは、設定の “セキュリティデバイス” マネージャーや modutil ユーティリティから手動で、/etc/firefox/policies/policies.jsonSecurityDevices ポリシー を設定し、システム内の p11-kit-trust.so の場所を指すエントリーを追加することにより完了します。

証明書データベースをプリロードする (新しいプロファイルのみ)

場合によっては、Firefox の新しいプロファイルを作成して、手動で必要な証明書をインストールし、いくつかの db ファイル (cert9.db および key4.dbsecmod.db) を新しいプロファイルに配布する方法をとるかもしれません。しかし、このアプローチは新しいプロファイルを作成する場合にしか用いることができないのでお奨めしません。

Certutil

Windows では、certutil を使用して、コマンドラインから Firefox の証明書データベースを更新できます。詳しい情報は、Microsoft サポートサイト を参照してください。

この記事は役に立ちましたか?

しばらくお待ちください...

以下の人々がこの記事の執筆を手伝ってくれました:

marsf
Illustration of hands

ボランティア

あなたの専門知識を成長させ、他の人と共有してください。質問に答えたり、ナレッジベースを改善したりしてください。

詳しく学ぶ