Compare Revisions

Узнайте, как настроить центры сертификации (CA) для вашей организации в Корпоративном Firefox.

[[Template:enterprise]] Если ваша организация использует частные центры сертификации (CA) для выпуска сертификатов для внутренних серверов, браузеры, такие как Firefox, могут отображать ошибки, пока вы не сконфигурируете их на распознавание этих частных сертификатов. Это следует сделать на ранней стадии, чтобы у ваших пользователей не возникало проблем с доступом к веб-сайтам. __TOC__ Вы можете добавить эти CA-сертификаты с помощью одного из следующих методов. =Используйте встроенную поддержку для Windows, macOS и Android (рекомендуется)= По умолчанию Firefox в Windows, macOS и Android будет искать и использовать сторонние CA, которые были добавлены в хранилище сертификатов операционной системы. Так что, если вы настроили свою операционную систему так, чтобы она доверяла частным CA вашей организации, Firefox должен доверять этим CA без необходимости дополнительной настройки. Этой функцией можно управлять на вкладке '''Приватность и Защита''' в '''about:preferences''', установив флажок '''Разрешить Firefox автоматически доверять установленным вами сторонним корневым сертификатам'''. В качестве альтернативы, этой функцией управляет параметр {pref security.enterprise_roots.enabled} в '''about:config'''. ==Корпоративная поддержка Windows== Firefox можно сконфигурировать на автоматический поиск и импорт CA, которые добавляются в хранилище сертификатов Windows пользователем или администратором. #[[Template:aboutconfig]] #Найдите параметр {pref security.enterprise_roots.enabled}. #Нажмите кнопку ''Переключить'' [[Image:Fx71aboutconfig-ToggleButton]] рядом с этим параметром, чтобы изменить его значение на {pref true}. #Перезапустите Firefox. Firefox проверит расположение реестра ''HKLM\SOFTWARE\Microsoft\SystemCertificates'' (относящееся к флагу API ''CERT_SYSTEM_STORE_LOCAL_MACHINE'') на наличие CA, которым доверено выпускать сертификаты для проверки подлинности веб-сервера TLS. Каждый CA будет импортирован в Firefox, и он будет им доверять, однако они могут не появиться в менеджере сертификатов Firefox. Администрирование этих CA должно осуществляться с помощью встроенных в Windows инструментов или других сторонних утилит. Firefox будет также совершать поиск в расположениях реестра ''HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates'' и ''HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates'' (относящихся к флагам API ''CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY'' и ''CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE'' соответственно). ==Корпоративная поддержка macOS== Эта функция также работает в macOS, импортируя корневые сертификаты, найденные в системной связке ключей macOS. =Используйте политики для импорта CA-сертификатов= Для добавления CA-сертификатов в Firefox можно использовать [[Customizing Firefox Using Group Policy (Windows)|корпоративную политику]]. *Установке ключа ''ImportEnterpriseRoots'' в значение '''true''' приведёт к тому, что Firefox будет доверять корневым сертификатам. Мы рекомендуем эту опцию для добавления в Firefox доверия к частным PKI. Это равноценно настройке параметра {pref security.enterprise_roots.enabled}, как описано выше в разделе [[#w_ispolzuite-vstroennuiu-podderzhku-dlia-windows-macos-i-android-rekomenduetsia|Используйте встроенную поддержку для Windows, macOS и Android (рекомендуется)]. *Ключ ''Install'' по умолчанию совершает поиск по сертификатам в расположениях, перечисленных ниже. Вы можете указать полный путь (смотрите [https://mozilla.github.io/policy-templates/#certificates примеры, перечисленные здесь]). Если Firefox что-то не найдёт в вашем полном пути, он будет искать в директориях по умолчанию: **Windows ***%USERPROFILE%\AppData\Local\Mozilla\Certificates ***%USERPROFILE%\AppData\Roaming\Mozilla\Certificates **macOS ***/Library/Application Support/Mozilla/Certificates ***~/Library/Application Support/Mozilla/Certificates **Linux ***/usr/lib/mozilla/certificates ***/usr/lib64/mozilla/certificates =Linux= ==Использование p11-kit-trust<!-- -->.so на Linux== Сертификаты могут импортироваться программно с помощью ''p11-kit-trust<!-- -->.so'' из ''p11-kit'' (обратите внимание, что некоторые дистрибутивы, например, на основе Red Hat, уже делают это по умолчанию, поставляя ''p11-kit-trust<!-- -->.so'' как ''libnsscbki<!-- -->.so''). Это можно сделать через настройку [https://mozilla.github.io/policy-templates/#securitydevices политики SecurityDevices] в ''/etc/firefox/policies/policies.json''' и добавление записи, указывающей на расположение ''p11-kit-trust<!-- -->.so'' в системе, добавив его вручную с помощью менеджера “Устройства безопасности” (“Security Devices”) в Настройках или с помощью утилиты modutil. ==Предзагрузка Базы данных сертификатов (только новые профили)== Некоторые пользователи [[Profile Manager - Create, remove or switch Firefox profiles|создают новый профиль в Firefox]], устанавливают вручную необходимые сертификаты и затем распространяют несколько .db-файлов (''cert9.db'', ''key4.db'' и ''secmod.db'') по новым профилям с помощью этого метода. Этот подход не рекомендуется и этот метод работает только для новых профилей. ==Certutil== Вы можете использовать certutil для обновления баз данных сертификатов Firefox из командной строки. Для получения дополнительной информации ознакомьтесь с [https://docs.microsoft.com/windows-server/administration/windows-commands/certutil сайтом поддержки Microsoft].