比较修订

firefox enterprise, центри сертифікації, CA

Дізнайтеся, як налаштувати центри сертифікації у Firefox для підприємств.

[[Template:Enterprise]] Якщо ваша організація використовує приватні центри сертифікації (ЦС) для випуску сертифікатів для внутрішніх серверів, такі браузери, як Firefox, можуть виводити помилки, якщо ви не налаштуєте їх на розпізнавання цих приватних сертифікатів. Це слід зробити заздалегідь, щоб ваші користувачі не мали проблем з доступом до вебсайтів. Ви можете додати ці сертифікати ЦС одним із наведених далі способів. =Використати політики, щоб імпорувати сертифікати ЦС (рекомендовано)= Починаючи з [[Find what version of Firefox you are using|Firefox версії]] 64, [[Customizing Firefox Using Group Policy (Windows)|корпоративні політики]] можуть використовуватись, щоб додавати сертифікати ЦС у Firefox. *Якщо вказати ключу ''ImportEnterpriseRoots'' значення ''true'', Firefox довірятиме кореневим сертифікатам. Ми радимо використовувати цей параметр для налаштування довіри до приватного PKI у Firefox. Це еквівалентно встановленню параметра {pref security.enterprise_roots.enabled} як описано у розділі Вбудована підтримка Windows і macOS. *Типово кнопка ''Установити'' шукатиме сертифікати у вказаних далі місцях. Починаючи з версії Firefox 65, ви можете вказати повний шлях (перегляньте ''cert3.der'' і ''cert4.pem'' у [https://github.com/mozilla/policy-templates/blob/master/README.md#Certificates цьому прикладі]). Якщо Firefox не знайде нічого за вказаним вами повним шляхом, він виконає пошук в усталених каталогах: **Windows ***%USERPROFILE%\AppData\Local\Mozilla\Certificates ***%USERPROFILE%\AppData\Roaming\Mozilla\Certificates **macOS ***/Library/Application Support/Mozilla/Certificates ***~/Library/Application Support/Mozilla/Certificates **Linux ***/usr/lib/mozilla/certificates ***/usr/lib64/mozilla/certificates =Використати вбудовану підтримку Windows і macOS= Встановлення параметру {pref security.enterprise_roots.enabled} значення true на сторінці ''about:config'' увімкне підтримку корпоративних root-користувачів Windows і macOS. ==Підтримка Windows Enterprise== Починаючи з версії 49, Firefox можна налаштувати на автоматичний пошук та імпорт центрів сертифікації, доданих до сховища сертифікатів Windows користувачем або адміністратором. #[[Template:aboutconfig]] #Знайдіть параметр {pref security.enterprise_roots.enabled}. #Клацніть кнопоку ''Перемикача'' [[Image:Fx71aboutconfig-ToggleButton]] навпроти цього параметра, щоб змінити його значення на {pref true}. #Перезапустіть Firefox. Firefox перевірить реєстр ''HKLM\SOFTWARE\Microsoft\SystemCertificates'' (що відповідає прапору API ''CERT_SYSTEM_STORE_LOCAL_MACHINE'') на наявність центрів сертифікації, довірених для видачі сертифікатів для автентифікації вебсервера TLS. Будь-які такі центри будуть імпортовані та довірені Firefox, хоча вони можуть не показуватися в менеджері сертифікатів Firefox. Адміністрування цих центрів має відбуватися за допомогою вбудованих інструментів Windows або інших утиліт сторонніх виробників. '''Firefox версії 52:''' Firefox також виконає пошук у каталогах реєстру ''HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates'' і ''HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates'' (відповідно до прапорів API ''CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY'' і ''CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE''). {note}'''Примітка:''' Це налаштування імпортує сертифікати лише зі сховища довірених кореневих центрів сертифікації Windows, а не з відповідного сховища проміжних центрів сертифікації. Читайте [https://bugzilla.mozilla.org/show_bug.cgi?id=1473573 обговорення 1473573]. Якщо у вас виникають помилки ''unknown issuer'' навіть після увімкнення цього параметра, спробуйте налаштувати ваш TLS-сервер так, щоб він включав необхідні проміжні сертифікати у рукостискання TLS.{/note} ==Підтримка macOS Enterprise== Починаючи з Firefox 63, ця функція також працює для macOS, імпортуючи корені, знайдені в системному наборі ключів macOS. =Linux= ==Використати p11-kit-trust<!-- -->.so на Linux== Сертифікати можна програмно імпортувати за допомогою ''p11-kit-trust<!-- -->.so'' з ''p11-kit'' ( зауважте, що деякі дистрибутиви, наприклад, на базі Red Hat, вже роблять це усталено, постачаючи ''p11-kit-trust<!-- -->.so'' як ''libnsscbki<!-- -->.so''). Це можна зробити налаштувавши [https://github.com/mozilla/policy-templates#securitydevices SecurityDevices політику] в '''/etc/firefox/policies/policies.json''' і додавши запис, що вказує на розташування ''p11-kit-trust<!-- -->.so'' у системі, додавши його вручну через менеджер “Пристрої безпеки” у Налаштуваннях або за допомогою утиліти modutil. ==Попереднє завантаження баз даних сертифікатів (лише для нових профілів)== Деякі люди створюють новий профіль у Firefox, вручну встановлюють потрібні їм сертифікати, а потім розподіляють різні файли баз даних (''cert9.db'', ''key4.db'' і ''secmod.db'') в нові профілі, використовуючи цей метод. Це не рекомендований підхід, і цей метод працює лише для нових профілів. ==Certutil== Ви можете використовувати certutil для оновлення баз даних сертифікатів Firefox з командного рядка. Докладнішу інформацію можна знайти на [https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certutil сайті підтримки Microsoft].