Configurar «Autoridades de Certificação» (CAs) no Firefox

Informações da Revisão
  • Id da revisão: 277463
  • Criado:
  • Criador: Manuela Silva
  • Comentário: Update
  • Revisto: Sim
  • Revisto:
  • Revisto por: Manuela.Silva
  • Está aprovado? Sim
  • É a revisão atual? Sim
  • Pronto para tradução: Não
Fonte da Revisão
Conteúdo da Revisão

O modelo "Enterprise" não existe ou não possui uma revisão aprovada.

Se a sua organização utiliza as autoridades de certificação (CAs) privadas para emitir certificados para os seus servidores internos, os navegadores, tal como o Firefox podem exibir erros, a menos que os configure para reconhecer esses certificados privados. Isto deverá ser realizado desde o início, e assim, os seus utilizadores não têm problemas para aceder aos sites da Web.

Pode adicionar estes certificados CA utilizando um dos métodos seguintes.

Utilizar as políticas para importar os certificados CA (recomendado)

A partir do Firefox - versão 64, pode ser utilizada uma política de empresa para adicionar certificados CA ao Firefox.

  • Definir a chave "ImportEnterpriseRoots" para true fará com que o Firefox confie nos certificados raiz. Nós recomendamos esta opção para adicionar confiança para um PKI privado ao Firefox. É equivalente a definir a preferência security.enterprise_roots.enabled conforme descrito na secção em baixo "Suporte Integrado para Windows e macOS".
  • A chave "Install", por predefinição, procurará certificados nas localizações listadas em baixo. A partir do Firefox 65, pode especificar um caminho totalmente qualificado (consulte "cert3.der" e "cert4.pem" neste exemplo). Se o Firefox não encontrar algo no seu caminho totalmente qualificado, ele pesquisará as diretorias predefinidas:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Utilizar o suporte integrado no Windows e MacOS

Definir a preferência security.enterprise_roots.enabled para "true" na página de about:config irá ativar o suporte raiz de empresa no Windows e macOS.

Suporte de Empresa no Windows

A partir da versão 49, o Firefox pode ser configurado para procurar automaticamente e importar CAs que foram adicionados à loja de certificados do Windows por um utilizador ou administrador.

  1. Digite about:config na barra de endereço e pressione EnterReturn.
    Poderá aparecer uma página de aviso. Clique em Aceitar o risco e continuar para ir para a página de about:config.
  2. Procure pela preferência security.enterprise_roots.enabled.
  3. Clique no botão Fx71aboutconfig-ToggleButton Alternar ao lado desta preferência para alterar o seu valor para true.
  4. Reinicie o Firefox.

O Firefox irá inspecionar a localização "HKLM\SOFTWARE\Microsoft\SystemCertificates" do "Registo" (correspondente à opção da API CERT_SYSTEM_STORE_LOCAL_MACHINE) para CAs que são confiáveis para emitir certificados para a autenticação do servidor da Web TLS. Quaisquer CAs serão importados e confiados pelo Firefox, embora possam não aparecer no gestor de certificados do Firefox. A administração destas CAs deverão ocorrer utilizando as ferramentas integradas do Windows ou outros utilitários de terceiros.

Versão 52 do Firefox: o Firefox também irá procurar as localizações "HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates e HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates" do "Registo" (correspondente à opção da API "CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY" e "CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE", respetivamente).

Nota: esta definição importa apenas os certificados do armazenamento das «Autoridades de Certificação Raiz Confiáveis» ​​do Windows, não do armazenamento correspondente das «Autoridades de Certificação Intermediárias». Consulte o erro 1473573. Se estiver a enfrentar erros de "emissor desconhecido" mesmo depois de ativar esta funcionalidade, tente configurar o seu servidor TLS para incluir os certificados intermediários necessários no handshake TLS.

Suporte de Empresa no nacOS

A partir do Firefox - versão 63, esta funcionalidade também funciona para o macOS, importando as raízes encontradas na cadeia-chave do sistema macOS.

Linux

Utilizar p11-kit-trust.so no Linux

Os certificados podem ser podem ser importados programaticamente utilizando "p11-kit-trust.so" de "p11-kit" (note que algumas distribuições, tais como as baseadas em Red Hat, já fazem isto por predefinição, incluindo "p11-kit-trust.so" como "libnsscbki.so").

Isto pode ser efetuado definindo a política SecurityDevices em /etc/firefox/policies/policies.json e adicionando uma entrada encaminhada para a localização "p11-kit-trust.so" no sistema, adicionando-a manualmente através do gestor de “Dispositivos de Segurança” nas «Preferências», ou utilizando o utilitário modutil.

Pré-carregar Base de Dados de Certificados (apenas novos perfis)

Algumas pessoas criam um novo perfil no Firefox, instalam manualmente os certificados de que precisam, e depois distribuem os vários ficheiros db ("cert9.db", "key4.db" e "secmod.db") em novos perfis utilizando este método. Esta não é a abordagem recomendada, e este método funciona apenas para os novos perfis.

Certuti

Pode utilizar certutil para atualizar a base de dados de certificados do Firefox a partir da linha de comandos. Consulte o site de apoio da Microsoft para mais informação.