Configurar «Autoridades de Certificação» (CAs) no Firefox

Informações da Revisão
  • Id da revisão: 263460
  • Criado:
  • Criador: Manuela Silva
  • Comentário: New translation
  • Revisto: Sim
  • Revisto:
  • Revisto por: Manuela.Silva
  • Está aprovado? Sim
  • É a revisão atual? Não
  • Pronto para tradução: Não
Fonte da Revisão
Conteúdo da Revisão

O modelo "Enterprise" não existe ou não possui uma revisão aprovada.

Se a sua organização utiliza as autoridades de certificação (CAs) privadas para emitir certificados para os seus servidores internos, os navegadores, tal como o Firefox podem exibir erros, a menos que os configure para reconhecer esses certificados privados. Isto deverá ser realizado desde o início para que os seus utilizadores não tenham problemas para aceder aos sites da Web.

Pode adicionar estes certificados CA utilizando um dos métodos seguintes.

Utilizar as políticas para importar os certificados CA (recomendado)

A partir da versão 64 do Firefox, pode ser utilizada uma política de empresa para adicionar certificados CA ao Firefox.

  • Definir a chave "ImportEnterpriseRoots" para true fará com que o Firefox confie nos certificados raiz. Nós recomendamos esta opção para adicionar confiança para um PKI privado ao Firefox. É equivalente a definir a preferência security.enterprise_roots.enabled conforme descrito na secção em baixo "Suporte Integrado para Windows e MacOS".
  • A chave "Install", por predefinição, procurará certificados nas localizações listadas em baixo. A partir do Firefox 65, pode especificar um caminho totalmente qualificado (consulte cert3.der e cert4.pem neste exemplo). Se o Firefox não encontrar algo no seu caminho totalmente qualificado, ele pesquisará as diretorias predefinidas:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • MacOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Utilizar o suporte integrado no Windows e MacOS

Definir a preferência "security.enterprise_roots.enabled" para true em about:config irá ativar o suporte raiz de empresa no Windows e MacOS.

Suporte de Empresa no Windows

A partir da versão 49, o Firefox pode ser configurado para procurar automaticamente e importar CAs que foram adicionados à loja de certificados do Windows por um utilizador ou administrador.

  1. Digite about:config na barra de endereço e continue para a lista de preferências.
  2. Defina a preferência "security.enterprise_roots.enabled" para true.
  3. Reinicie o Firefox.

O Firefox irá inspecionar a localização "HKLM\SOFTWARE\Microsoft\SystemCertificates" do 'Registo' (correspondente à opção da API CERT_SYSTEM_STORE_LOCAL_MACHINE) para CAs que são confiáveis para emitir certificados para a autenticação do servidor da Web TLS. Quaisquer CAs serão importados e confiados pelo Firefox, embora possam não aparecer no gestor de certificados do Firefox. A administração destas CAs deverão ocorrer utilizando as ferramentas integradas do Windows ou outros utilitários de terceiros.

Versão 52 do Firefox: o Firefox também irá procurar as localizações "HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates e HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates" do 'Registo' (correspondente à opção da API "CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY" e "CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE", respetivamente).

Note: Esta definição importa apenas os certificados do armazenamento das «Autoridades de Certificação Raiz Confiáveis» ​​do Windows, não do armazenamento correspondente das «Autoridades de Certificação Intermediárias». Consulte o erro 1473573. Se estiver a enfrentar erros de “emissor desconhecido” mesmo depois de ativar esta funcionalidade, tente configurar o seu servidor TLS para incluir os certificados intermediários necessários no handshake TLS.

Suporte de Empresa no MacOS

A partir da versão 63 do Firefox, esta funcionalidade também funciona para o MacOS, importando as raízes encontradas na cadeia-chave do sistema MacOS.

Linux

Utilizar p11-kit-trust.so no Linux

Os certificados podem ser podem ser importados programaticamente utilizando p11-kit-trust.so de "p11-kit" (note que algumas distribuições, tais como as baseadas em Red Hat, já fazem isto por predefinição, incluindo p11-kit-trust.so como libnsscbki.so).

Isto pode ser efetuado definindo a política SecurityDevices em /etc/firefox/policies/policies.json e adicionando uma entrada encaminhada para a localização p11-kit-trust.so no sistema, adicionando-a manualmente através do gestor de “Dispositivos de Segurança” nas «Preferências», ou utilizando o utilitário modutil.

Pré-carregar Base de Dados de Certificados (apenas novos perfis)

Algumas pessoas criam um novo perfil no Firefox, instalam manualmente os certificados de que precisam, e depois distribuem os vários ficheiros db (cert9.db, key4.db e secmod.db) em novos perfis utilizando este método. Esta não é a abordagem recomendada, e este método funciona apenas para os novos perfis.

Certuti

Pode utilizar certutil para atualizar a base de dados de certificados do Firefox a partir da linha de comandos. Consulte o site de apoio da Microsoft para mais informação.