Настройка центров сертификации (CA) в Firefox

Шаблон "Enterprise" не существует или не имеет одобренной версии.

Если ваша организация использует частные центры сертификации (CA) для выпуска сертификатов для внутренних серверов, браузеры, такие как Firefox, могут отображать ошибки, пока вы не сконфигурируете их на распознавание этих частных сертификатов. Это следует сделать на ранней стадии, чтобы у ваших пользователей не возникало проблем с доступом к веб-сайтам.

Вы можете добавить эти CA-сертификаты с помощью одного из следующих методов.

Использование политик для импорта CA-сертификатов (рекомендуется)

Начиная с Firefox версии 64, для добавления CA-сертификатов в Firefox можно использовать корпоративную политику.

  • Установке ключа ImportEnterpriseRoots в значение true приведёт к тому, что Firefox будет доверять корневым сертификатам. Мы рекомендуем эту опцию для добавления в Firefox доверия к частным PKI. Это равноценно настройке параметра security.enterprise_roots.enabled, как описано ниже в секции о встроенной поддержке Windows и macOS.
  • Ключ Install по умолчанию будет совершать поиск по сертификатам в расположениях, перечисленных ниже. Начиная с Firefox 65 вы можете указать полный путь (смотрите cert3.der и cert4.pem в этом примере). Если Firefox что-то не найдёт в вашем полном пути, он будет искать в директориях по умолчанию:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Использование встроенной поддержки Windows и macOS

Установка параметра security.enterprise_roots.enabled в значение true на странице about:config включит корпоративную корневую поддержку Windows и macOS.

=Поддержка Корпоративного Windows

Начиная с версии 49, Firefox можно сконфигурировать на автоматический поиск и импорт CA, которые добавляются в хранилище сертификатов Windows пользователем или администратором.

  1. Введите about:config в адресной строке и нажмите EnterReturn.
    Может появиться страница с предупреждением. Нажмите Принять риск и продолжить, чтобы перейти на страницу about:config.
  2. Найдите параметр security.enterprise_roots.enabled.
  3. Нажмите кнопку Переключить Fx71aboutconfig-ToggleButton рядом с этим параметром, чтобы изменить его значение на true.
  4. Перезапустите Firefox.

Firefox проверит расположение реестра HKLM\SOFTWARE\Microsoft\SystemCertificates (относящееся к флагу API CERT_SYSTEM_STORE_LOCAL_MACHINE) на наличие CA, которым доверено выпускать сертификаты для проверки подлинности веб-сервера TLS. Каждый CA будет импортирован в Firefox, и он будет им доверять, однако они могут не появиться в менеджере сертификатов Firefox. Администрирование этих CA должно осуществляться с помощью встроенных в Windows инструментов или других сторонних утилит.

Firefox версии 52: Firefox будет также совершать поиск в расположениях реестра HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates и HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (относящихся к флагам API CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY и CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE соответственно).

Примечание: Эта настройка тоько импортирует сертификаты из Хранилища доверенных корневых центров сертификации Windows, которое не относится к хранилищу Промежуточных центров сертификации. См. баг 1473573. Если вы сталкиваетесь с ошибками неизвестный издатель даже после включения этой функции, попробуйте сконфигурировать свой TLS-сервер на ключение необходимых промежуточных сертификатов в рукопожатие TLSe.

=Поддержка Корпоративного macOS

Начиная с Firefox 63 эта функция также работает для macOS посредством ипорта корневиков, найденных в системной цепочке ключей MacOS.

Linux

Использование p11-kit-trust.so на Linux

Сертификаты могут импортироваться программно с помощью p11-kit-trust.so из p11-kit (обратите внимание, что некоторые дистрибутивы, например, на основе Red Hat, уже делают это по умолчанию, поставляя p11-kit-trust.so как libnsscbki.so).

Это можно сделать через настройку политики SecurityDevices в /etc/firefox/policies/policies.json' и добавление записи, указывающей на расположение p11-kit-trust.so в системе, добавив его вручную с помощью менеджера “Устройства безопасности” (“Security Devices”) в Настройках или с помощью утилиты modutil.

Предзагрузка Базы данных сертификатов (только новые профили)

Некоторые люди создают новый профиль в Firefox, устанавливая необходимые сертификаты, и затем распространяют несколько db-файлов (cert9.db, key4.db и secmod.db) по новым профилям с помощью этого метода. Этот подход не рекомендуется и этот метод работает только для новых профилей.

Certutil

Вы можете использовать certutil для обновления баз данных сертификатов Firefox из командной строки. Ознакомьтесь с сайтом поддержки Microsoft для получения дополнительной информации.

Помогла ли эта статья?

Пожалуйста, подождите...

Эти прекрасные люди помогли написать эту статью:

Valery Ledovskoy
Illustration of hands

Станьте волонтёром

Растите и делитесь опытом с другими. Отвечайте на вопросы и улучшайте нашу базу знаний.

Подробнее