Configurar «Autoridades de Certificação» (CAs) no Firefox

Firefox for Enterprise Firefox for Enterprise Última actualização:

Este artigo é para os administradores de TI que pretendem configurar o Firefox nos computadores da sua organização.

Se a sua organização utiliza as autoridades de certificação (CAs) privadas para emitir certificados para os seus servidores internos, os navegadores, tal como o Firefox podem exibir erros, a menos que os configure para reconhecer esses certificados privados. Isto deverá ser realizado desde o início, e assim, os seus utilizadores não têm problemas para aceder aos sites da Web.

Pode adicionar estes certificados CA utilizando um dos métodos seguintes.

Utilizar o suporte integrado para Windows, macOS e Android (recomendado)

Por predefinição, o Firefox no Windows, MacOS e Android procurarão e utilizarão CAS de terceiros que foram adicionados ao armazenamento de certificados do sistema operativo. Portanto, se configurou o seu sistema operativo para confiar no CAS privado da sua organização, o Firefox deve confiar naqueles CAS sem necessidade de configuração adicional. Esta funcionalidade pode ser controlada no separador Privacidade e Segurança de about:preferences utilizando a caixa de seleção Permitir que o Firefox confie automaticamente em certificados raiz de terceiros que instale. Como alternativa, a preferência security.enterprise_roots.enabled em about.config controla esta funcionalidade.

Suporte de Empresa no Windows

O Firefox pode ser configurado para procurar automaticamente e importar CAs que foram adicionados à loja de certificados do Windows por um utilizador ou administrador.

  1. Digite about:config na barra de endereço e pressione EnterReturn.
    Poderá aparecer uma página de aviso. Clique em Aceitar o risco e continuar para ir para a página de about:config.
  2. Procure pela preferência security.enterprise_roots.enabled.
  3. Clique no botão Fx71aboutconfig-ToggleButton Alternar ao lado desta preferência para alterar o seu valor para true.
  4. Reinicie o Firefox.

O Firefox irá inspecionar a localização "HKLM\SOFTWARE\Microsoft\SystemCertificates" do "Registo" (correspondente à opção da API CERT_SYSTEM_STORE_LOCAL_MACHINE) para CAs que são confiáveis para emitir certificados para a autenticação do servidor da Web TLS. Quaisquer CAs serão importados e confiados pelo Firefox, embora possam não aparecer no gestor de certificados do Firefox. A administração destas CAs deverão ocorrer utilizando as ferramentas integradas do Windows ou outros utilitários de terceiros.

O Firefox também irá procurar as localizações "HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates e HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates" do "Registo" (correspondente à opção da API "CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY" e "CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE", respetivamente).

Suporte de Empresa no macOS

Esta funcionalidade também funciona para o macOS, importando as raízes encontradas na cadeia-chave do sistema macOS.

Utilizar políticas para importar certificados CA

Uma política de empresa pode ser utilizada para adicionar certificados CA ao Firefox.

  • Definido a chave "ImportEnterpriseRoots" para true faz com que o Firefox confie nos certificados raiz. Nós recomendamos esta opção para adicionar confiança para um PKI privado ao Firefox. É o equivalente a definir a preferência security.enterprise_roots.enabled como descrito em Utilizar o suporte integrado para Windows, macOS e Android (recomendado) na secção em cima.
  • A chave "Install" procura por predefinição por certificados nas localizações listadas em baixo. Pode especificar um caminho totalmente qualificado (consulte os exemplos listados aqui). Se o Firefox não encontrar qualquer coisa neste seu caminho, ele irá procurar as diretorias predefinidas:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Linux

Utilizar p11-kit-trust.so no Linux

Os certificados podem ser podem ser importados programaticamente utilizando "p11-kit-trust.so" de "p11-kit". Isto pode ser realizado, definindo a SecurityDevices política em /etc/firefox/policies/policies.json e adicionando um ponto de entrada para a localização "p11-kit-trust.so" no sistema, adicionando-o manualmente através do gestor de "Dispositivos de Segurança" nas "Preferências", ou utilizando o utilitário modutil.

Pré-carregar Base de Dados de Certificados (apenas novos perfis)

Alguns utilizadores irão criar um novo perfil no Firefox, instalar manualmente os certificados de que precisam, e depois distribuir os vários ficheiros db ("cert9.db", "key4.db" e "secmod.db") em novos perfis utilizando este método. Esta não é a abordagem recomendada, e este método funciona apenas para os novos perfis.

Certuti

Pode utilizar certutil para atualizar a base de dados de certificados do Firefox a partir da linha de comandos. Consulte o site de apoio da Microsoft para mais informação.

Estas pessoas fantásticas ajudaram a escrever este artigo:

Manuela Silva
Illustration of hands

Participar

Cresça e partilhe a sua experiência com outras pessoas. Responda a perguntas e melhore a nossa base de conhecimentos.

Saber mais