Ρύθμιση αρχών πιστοποιητικών (CA) στο Firefox

Firefox for Enterprise Firefox for Enterprise Τελευταία ενημέρωση: 1 week, 6 days ago

Αυτό το άρθρο απευθύνεται σε διαχειριστές ΤΠ που επιθυμούν να ρυθμίσουν το Firefox στους υπολογιστές των οργανισμών τους.

Εάν ο οργανισμός σας χρησιμοποιεί ιδιωτικές αρχές πιστοποιητικών (CA) για την έκδοση πιστοποιητικών για τους εσωτερικούς διακομιστές σας, τα προγράμματα περιήγησης, όπως το Firefox, ενδέχεται να εμφανίσουν σφάλματα εκτός αν τα ρυθμίσετε έτσι, ώστε να αναγνωρίζουν αυτά τα ιδιωτικά πιστοποιητικά. Αυτό θα πρέπει να γίνει νωρίς, ώστε οι χρήστες σας να μην αντιμετωπίσουν προβλήματα με την πρόσβαση σε ιστοτόπους.

Μπορείτε να προσθέσετε αυτά τα πιστοποιητικά CA με κάποια από τις εξής μεθόδους.

Χρήση ενσωματωμένης υποστήριξης για Windows, macOS και Android (προτείνεται)

Από προεπιλογή, το Firefox για Windows, macOS και Android αναζητά και αξιοποιεί τις τρίτες CA που έχουν προστεθεί στο αποθετήριο πιστοποιητικών του λειτουργικού συστήματος. Επομένως, εάν έχετε ρυθμίσει το λειτουργικό σας σύστημα έτσι, ώστε να εμπιστεύεται τις ιδιωτικές CA του οργανισμού σας, το Firefox θα πρέπει να τις εμπιστεύεται χωρίς να απαιτούνται περαιτέρω ρυθμίσεις. Μπορείτε να ελέγξετε αυτήν τη δυνατότητα στην καρτέλα Απόρρητο και ασφάλεια της σελίδας about:preferences, μέσω της επιλογής Να επιτρέπεται στο Firefox να εμπιστεύεται αυτόματα τα τρίτα πιστοποιητικά ρίζας που εγκαθιστάτε. Επίσης, η συγκεκριμένη δυνατότητα καθορίζεται από την προτίμηση security.enterprise_roots.enabled στη σελίδα about:config.

Υποστήριξη για επιχειρήσεις στα Windows

Το Firefox μπορεί να ρυθμιστεί έτσι, ώστε να κάνει αυτόματα αναζήτηση και εισαγωγή των CA που έχουν προστεθεί στο κατάστημα πιστοποιητικών των Windows από κάποιον χρήστη ή διαχειριστή.

  1. Πληκτρολογήστε about:config στη γραμμή διευθύνσεων και πατήστε EnterReturn.
    Ενδέχεται να εμφανιστεί μια σελίδα προειδοποίησης. Κάντε κλικ στο Αποδοχή κινδύνου και συνέχεια για να μεταβείτε στη σελίδα about:config.
  2. Αναζητήστε την προτίμηση security.enterprise_roots.enabled.
  3. Κάντε κλικ στο κουμπί εναλλαγής Fx71aboutconfig-ToggleButton δίπλα στην προτίμηση, ώστε να αλλάξετε την τιμή της σε true.
  4. Επανεκκινήστε το Firefox.

Το Firefox θα κάνει αναζήτηση στην τοποθεσία HKLM\SOFTWARE\Microsoft\SystemCertificates του μητρώου (αντιστοιχεί στη σήμανση API CERT_SYSTEM_STORE_LOCAL_MACHINE) για αξιόπιστες CA που εκδίδουν πιστοποιητικά για ταυτοποίηση διακομιστών TLS. Όλες αυτές οι CA θα εισαχθούν στο Firefox και θα οριστούν ως αξιόπιστες, αν και ενδέχεται να μην εμφανίζονται στη Διαχείριση πιστοποιητικών του Firefox. Η διαχείριση αυτών των CA θα πρέπει να γίνεται μέσω των ενσωματωμένων εργαλείων των Windows ή άλλων εργαλείων από τρίτους κατασκευαστές.

Το Firefox θα κάνει αναζήτηση και στις τοποθεσίες HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates και HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates του μητρώου (αντιστοιχούν στις σημάνσεις API CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY και CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE, αντίστοιχα).

Υποστήριξη για επιχειρήσεις στο macOS

Αυτή η δυνατότητα υπάρχει και στο macOS, εισαγάγοντας τις ρίζες που βρίσκονται στην κλειδοθήκη συστήματος του macOS.

Χρήση πολιτικών για εισαγωγή πιστοποιητικών CA

Μπορείτε να χρησιμοποιήσετε μια εταιρική πολιτική για την προσθήκη πιστοποιητικών CA στο Firefox.

  • Ορίζοντας το κλειδί ImportEnterpriseRoots σε true, το Firefox θα θεωρεί αξιόπιστα τα πιστοποιητικά ρίζας. Προτείνουμε αυτήν την επιλογή για τον ορισμό ενός ιδιωτικού PKI ως αξιόπιστου στο Firefox. Ισοδυναμεί με τον ορισμό της προτίμησης security.enterprise_roots.enabled, όπως περιγράφεται στην ενότητα Χρήση ενσωματωμένης υποστήριξης για Windows, macOS και Android (προτείνεται), παραπάνω.
  • Από προεπιλογή, το κλειδί Install αναζητά πιστοποιητικά στις τοποθεσίες που αναγράφονται παρακάτω. Μπορείτε να καθορίσετε μια κατάλληλη διαδρομή (δείτε τα παραδείγματα που παρατίθενται εδώ). Εάν το Firefox δεν εντοπίσει κάτι στη διαδρομή αυτή, θα κάνει αναζήτηση στους προεπιλεγμένους καταλόγους:
    • Windows
      • %USERPROFILE%\AppData\Local\Mozilla\Certificates
      • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
    • macOS
      • /Library/Application Support/Mozilla/Certificates
      • ~/Library/Application Support/Mozilla/Certificates
    • Linux
      • /usr/lib/mozilla/certificates
      • /usr/lib64/mozilla/certificates

Linux

Χρήση του p11-kit-trust.so στο Linux

Τα πιστοποιητικά μπορούν να εισαχθούν προγραμματιστικά με το p11-kit-trust.so από το p11-kit (σημειώστε ότι ορισμένες διανομές, όπως αυτές που βασίζονται στο Red Hat, το κάνουν ήδη αυτό από προεπιλογή, διανέμοντας το p11-kit-trust.so ως libnsscbki.so).

Αυτό μπορεί να γίνει ρυθμίζοντας την πολιτική SecurityDevices στο /etc/firefox/policies/policies.json και προσθέτοντας μια καταχώρηση που να «δείχνει» στην τοποθεσία του p11-kit-trust.so στο σύστημα, προσθέτοντάς το μη αυτόματα μέσω της διαχείρισης ασφαλών συσκευών στις Προτιμήσεις ή του εργαλείου «modutil».

Προφόρτωση των βάσεων δεδομένων πιστοποιητικών (μόνο για νέα προφίλ)

Ορισμένοι χρήστες δημιουργούν νέο προφίλ στο Firefox, εγκαθιστούν μη αυτόματα τα πιστοποιητικά που χρειάζονται και έπειτα, διανέμουν τα διάφορα αρχεία db (cert9.db, key4.db και secmod.db) στα νέα προφίλ με αυτήν τη μέθοδο. Αυτή η προσέγγιση δεν προτείνεται και αυτή η μέθοδος λειτουργεί μόνο για νέα προφίλ.

Certutil

Μπορείτε να χρησιμοποιήσετε το certutil για να ενημερώσετε τις βάσεις δεδομένων πιστοποιητικών του Firefox από τη γραμμή εντολών. Δείτε τον ιστότοπο υποστήριξης της Microsoft για περισσότερες πληροφορίες.

Ήταν χρήσιμο αυτό το άρθρο;

Παρακαλώ περιμένετε...

Αυτοί οι υπέροχοι άνθρωποι βοήθησαν στη σύνταξη αυτού του άρθρου:

Jim Spentzos
Illustration of hands

Συμμετοχή

Μοιραστείτε την εμπειρία σας με άλλους χρήστες. Απαντήστε σε ερωτήσεις και βελτιώστε τη γνωσιακή βάση μας.

Μάθετε περισσότερα