Comparar Revisões

firefox enterprise, certificate authorites, CAs

Saiba como configurar as autoridades de certificação no Firefox Enterprise.

[[Template:Enterprise]] Se a sua organização utiliza as autoridades de certificação (CAs) privadas para emitir certificados para os seus servidores internos, os navegadores, tal como o Firefox podem exibir erros, a menos que os configure para reconhecer esses certificados privados. Isto deverá ser realizado desde o início, e assim, os seus utilizadores não têm problemas para aceder aos <i>sites</i> da Web. Pode adicionar estes certificados CA utilizando um dos métodos seguintes. = Utilizar as políticas para importar os certificados CA (recomendado) = A partir do [[Find what version of Firefox you are using|Firefox - versão]] 64, pode ser utilizada uma [[Customizing Firefox Using Group Policy (Windows)|política de empresa]] para adicionar certificados CA ao Firefox. *Definir a chave "ImportEnterpriseRoots" para '''true''' fará com que o Firefox confie nos certificados raiz. Nós recomendamos esta opção para adicionar confiança para um PKI privado ao Firefox. É equivalente a definir a preferência {pref security.enterprise_roots.enabled} conforme descrito na secção em baixo "Suporte Integrado para Windows e macOS". *A chave "Install", por predefinição, procurará certificados nas localizações listadas em baixo. A partir do Firefox 65, pode especificar um caminho totalmente qualificado (consulte "cert3.der" e "cert4.pem" [https://github.com/mozilla/policy-templates/blob/master/README.md#Certificates neste exemplo]). Se o Firefox não encontrar algo no seu caminho totalmente qualificado, ele pesquisará as diretorias predefinidas: **Windows ***%USERPROFILE%\AppData\Local\Mozilla\Certificates ***%USERPROFILE%\AppData\Roaming\Mozilla\Certificates **macOS ***/Library/Application Support/Mozilla/Certificates ***~/Library/Application Support/Mozilla/Certificates **Linux ***/usr/lib/mozilla/certificates ***/usr/lib64/mozilla/certificates = Utilizar o suporte integrado no Windows e MacOS = Definir a preferência {pref security.enterprise_roots.enabled} para "true" na página de '''about:config''' irá ativar o suporte raiz de empresa no Windows e macOS. == Suporte de Empresa no Windows == A partir da versão 49, o Firefox pode ser configurado para procurar automaticamente e importar CAs que foram adicionados à loja de certificados do Windows por um utilizador ou administrador. #[[Template:aboutconfig]] #Procure pela preferência {pref security.enterprise_roots.enabled}. #Clique no botão [[Image:Fx71aboutconfig-ToggleButton]] Alternar ao lado desta preferência para alterar o seu valor para {pref true}. #Reinicie o Firefox. O Firefox irá inspecionar a localização "HKLM\SOFTWARE\Microsoft\SystemCertificates" do "Registo" (correspondente à opção da API CERT_SYSTEM_STORE_LOCAL_MACHINE) para CAs que são confiáveis para emitir certificados para a autenticação do servidor da Web TLS. Quaisquer CAs serão importados e confiados pelo Firefox, embora possam não aparecer no gestor de certificados do Firefox. A administração destas CAs deverão ocorrer utilizando as ferramentas integradas do Windows ou outros utilitários de terceiros. '''Versão 52 do Firefox:''' o Firefox também irá procurar as localizações "HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates e HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates" do "Registo" (correspondente à opção da API "CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY" e "CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE", respetivamente). {note}'''Nota:''' esta definição importa apenas os certificados do armazenamento das «Autoridades de Certificação Raiz Confiáveis» ​​do Windows, não do armazenamento correspondente das «Autoridades de Certificação Intermediárias». Consulte o [https://bugzilla.mozilla.org/show_bug.cgi?id=1473573 erro 1473573]. Se estiver a enfrentar erros de "emissor desconhecido" mesmo depois de ativar esta funcionalidade, tente configurar o seu servidor TLS para incluir os certificados intermediários necessários no <i>handshake</i> TLS.{/note} == Suporte de Empresa no nacOS == A partir do Firefox - versão 63, esta funcionalidade também funciona para o macOS, importando as raízes encontradas na cadeia-chave do sistema macOS. = Linux = == Utilizar p11-kit-trust<!-- -->.so no Linux == Os certificados podem ser podem ser importados programaticamente utilizando "p11-kit-trust<!-- -->.so" de "p11-kit" (note que algumas distribuições, tais como as baseadas em Red Hat, já fazem isto por predefinição, incluindo "p11-kit-trust<!-- -->.so" como "libnsscbki<!-- -->.so"). Isto pode ser efetuado definindo a [https://github.com/mozilla/policy-templates#securitydevices política '''SecurityDevices'''] em '''/etc/firefox/policies/policies.json''' e adicionando uma entrada encaminhada para a localização "p11-kit-trust<!-- -->.so" no sistema, adicionando-a manualmente através do gestor de “Dispositivos de Segurança” nas «Preferências», ou utilizando o utilitário '''modutil'''. == Pré-carregar Base de Dados de Certificados (apenas novos perfis) == Algumas pessoas criam um novo perfil no Firefox, instalam manualmente os certificados de que precisam, e depois distribuem os vários ficheiros '''db''' ("cert9.db", "key4.db" e "secmod.db") em novos perfis utilizando este método. Esta não é a abordagem recomendada, e este método funciona apenas para os novos perfis. == Certuti == Pode utilizar '''certutil''' para atualizar a base de dados de certificados do Firefox a partir da linha de comandos. Consulte o [https://learn.microsoft.com/pt-pt/windows-server/administration/windows-commands/certutil <i>site</i> de apoio da Microsoft] para mais informação.