Ρύθμιση αρχών πιστοποιητικών (CA) στο Firefox

Firefox for Enterprise Firefox for Enterprise Last updated: 11 months, 4 weeks ago

Το πρότυπο «Enterprise» δεν υπάρχει ή δεν έχει εγκεκριμένη αναθεώρηση.

Εάν ο οργανισμός σας χρησιμοποιεί ιδιωτικές αρχές πιστοποιητικών (CA) για την έκδοση πιστοποιητικών για τους εσωτερικούς διακομιστές σας, τα προγράμματα περιήγησης, όπως το Firefox, ενδέχεται να εμφανίσουν σφάλματα εκτός αν τα ρυθμίσετε έτσι, ώστε να αναγνωρίζουν αυτά τα ιδιωτικά πιστοποιητικά. Αυτό θα πρέπει να γίνει νωρίς, ώστε οι χρήστες σας να μην έχουν προβλήματα με την πρόσβαση σε ιστοτόπους.

Μπορείτε να προσθέσετε αυτά τα πιστοποιητικά CA με κάποια από τις εξής μεθόδους.

Χρήση πολιτικών για εισαγωγή πιστοποιητικών CA (προτείνεται)

Ξεκινώντας από την έκδοση 64 του Firefox, μπορεί να χρησιμοποιηθεί η πολιτική για επιχειρήσεις για την προσθήκη πιστοποιητικών CA στο Firefox.

  • Ρυθμίζοντας το κλειδί ImportEnterpriseRoots σε true, το Firefox θα θεωρεί αξιόπιστα τα πιστοποιητικά ρίζας. Προτείνουμε αυτήν την επιλογή για τον ορισμό ενός ιδιωτικού PKI ως αξιόπιστου στο Firefox. Ισοδυναμεί με τη ρύθμιση της προτίμησης security.enterprise_roots.enabled, όπως περιγράφεται στην ενότητα ενσωματωμένης υποστηρίξης των Windows και macOS, παρακάτω.
  • Από προεπιλογή, το κλειδί Install θα αναζητά πιστοποιητικά στις τοποθεσίες που αναγράφονται παρακάτω. Ξεκινώντας από το Firefox 65, μπορείτε να καθορίσετε μια κατάλληλη διαδρομή (δείτε τα cert3.der και cert4.pem σε αυτό το παράδειγμα). Εάν το Firefox δεν εντοπίσει κάτι στη διαδρομή αυτή, θα κάνει αναζήτηση στους προεπιλεγμένους καταλόγους:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Χρήση ενσωματωμένης υποστήριξης των Windows και macOS

Ρυθμίζοντας την προτίμηση security.enterprise_roots.enabled σε «true» από τη σελίδα about:config, θα ενεργοποιηθεί η υποστήριξη για ρίζες επιχειρήσεων στα Windows και MacOS.

Υποστήριξη για επιχειρήσεις στα Windows

Ξεκινώντας από την έκδοση 49, το Firefox μπορεί να ρυθμιστεί έτσι, ώστε να κάνει αυτόματα αναζήτηση και εισαγωγή των CA που έχουν προστεθεί στο κατάστημα πιστοποιητικών των Windows από κάποιον χρήστη ή διαχειριστή.

  1. Πληκτρολογήστε about:config στη γραμμή διευθύνσεων και πατήστε EnterReturn.
    Ενδέχεται να εμφανιστεί μια σελίδα προειδοποίησης. Κάντε κλικ στο Αποδοχή κινδύνου και συνέχεια για να μεταβείτε στη σελίδα about:config.
  2. Αναζητήστε την προτίμηση security.enterprise_roots.enabled.
  3. Κάντε κλικ στο κουμπί εναλλαγής Fx71aboutconfig-ToggleButton δίπλα στην προτίμηση, ώστε να αλλάξετε την τιμή της σε true.
  4. Επανεκκινήστε το Firefox.

Το Firefox θα κάνει αναζήτηση στην τοποθεσία HKLM\SOFTWARE\Microsoft\SystemCertificates του μητρώου (αντιστοιχεί στη σήμανση API CERT_SYSTEM_STORE_LOCAL_MACHINE) για αξιόπιστες CA που εκδίδουν πιστοποιητικά για ταυτοποίηση διακομιστών TLS. Όλες αυτές οι CA θα εισαχθούν στο Firefox και θα οριστούν ως αξιόπιστες, αν και ενδέχεται να μην εμφανίζονται στη Διαχείριση πιστοποιητικών του Firefox. Η διαχείριση αυτών των CA θα πρέπει να γίνεται μέσω των ενσωματωμένων εργαλείων των Windows ή άλλων εργαλείων από τρίτους κατασκευαστές.

Έκδοση 52 του Firefox: Το Firefox θα κάνει αναζήτηση και στις τοποθεσίες HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates και HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates του μητρώου (αντιστοιχούν στις σημάνσεις API CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY και CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE, αντίστοιχα).

Σημείωση: Αυτή η ρύθμιση εισαγάγει μόνο τα πιστοποιητικά από το κατάστημα αξιόπιστων αρχών έκδοσης πιστοποιητικών ρίζας, όχι το αντίστοιχο κατάστημα αρχών ενδιάμεσων πιστοποιητικών. Δείτε το σφάλμα 1473573. Εάν αντιμετωπίζετε σφάλματα που αναφέρουν «αγνώστος εκδότης», ακόμα και μετά την ενεργοποίηση αυτής της λειτουργίας, δοκιμάστε να ρυθμίσετε τον διακομιστή TLS σας έτσι, ώστε να περιλαμβάνει τα απαραίτητα ενδιάμεσα πιστοποιητικά στη χειραψία TLS.

Υποστήριξη για επιχειρήσεις στο macOS

Ξεκινώντας από το Firefox 63, αυτή η λειτουργία λειτουργεί και στο macOS, εισαγάγοντας τις ρίζες που βρίσκονται στην κλειδοθήκη συστήματος του MacOS.

Linux

Χρήση του p11-kit-trust.so στο Linux

Τα πιστοποιητικά μπορούν να εισαχθούν προγραμματιστικά με το p11-kit-trust.so από το p11-kit (σημειώστε ότι ορισμένες διανομές, όπως αυτές που βασίζονται στο Red Hat, το κάνουν ήδη αυτό από προεπιλογή, διανέμοντας το p11-kit-trust.so ως libnsscbki.so).

Αυτό μπορεί να γίνει ρυθμίζοντας την πολιτική SecurityDevices στο /etc/firefox/policies/policies.json και προσθέτοντας μια καταχώρηση που να «δείχνει» στην τοποθεσία του p11-kit-trust.so στο σύστημα, προσθέτοντάς το μη αυτόματα μέσω της διαχείρισης ασφαλών συσκευών στις Προτιμήσεις ή του εργαλείου «modutil».

Προφόρτωση των βάσεων δεδομένων πιστοποιητικών (μόνο για νέα προφίλ)

Ορισμένοι χρήστες δημιουργούν νέο προφίλ στο Firefox, εγκαθιστούν μη αυτόματα τα πιστοποιητικά που χρειάζονται και έπειτα, διανέμουν τα διάφορα αρχεία db (cert9.db, key4.db και secmod.db) στα νέα προφίλ με αυτήν τη μέθοδο. Αυτή η προσέγγιση δεν προτείνεται και αυτή η μέθοδος λειτουργεί μόνο για νέα προφίλ.

Certutil

Μπορείτε να χρησιμοποιήσετε το certutil για να ενημερώσετε τις βάσεις δεδομένων πιστοποιητικών του Firefox από τη γραμμή εντολών. Δείτε τον ιστότοπο υποστήριξης της Microsoft για περισσότερες πληροφορίες.

Ήταν χρήσιμο αυτό το άρθρο;

Παρακαλώ περιμένετε...

Αυτοί οι υπέροχοι άνθρωποι βοήθησαν στη σύνταξη αυτού του άρθρου:

Jim Spentzos
Illustration of hands

Συμμετοχή

Μοιραστείτε την εμπειρία σας με άλλους χρήστες. Απαντήστε σε ερωτήσεις και βελτιώστε τη γνωσιακή βάση μας.

Μάθετε περισσότερα