Начиная с Firefox 49, существует некоторая поддержка сертификатов Windows CA и поддержка Active Directory, предоставляемая корпоративными корневыми сертификатами начиная с Firefox 52. Также поддерживается macOS для чтения из цепочки для ключей начиная с версии 63.
Начиная с Firefox 68, эта функция включена по умолчанию в версии ESR (для предприятий), но не в (стандартной) быстрой версии.
Вы можете включить эту функцию для Windows и MacOS about:config
, создав это логическое значение:
security.enterprise_roots.enabled
и установите его в true
.
В GNU / Linux этим обычно управляет p11-kit-trust, и флаг не требуется.
Развертывание всей системы конфигурации
Начиная с Firefox 64, есть новый и рекомендуемый способ с использованием политик, задокументированный на https://support.mozilla.org/en-US/kb/setting-certificate-authorities-firefox
Для устаревших версий установочную папку Firefox можно извлечь из реестра Windows, затем перейти в defaults\pref\
подкаталог и создать новый файл со следующими данными:
/* Allows Firefox reading Windows certificates */
pref("security.enterprise_roots.enabled", true);
Сохраните его с .js
расширением, например, trustwincerts.js
и перезапустите Firefox. Запись появится about:config
для всех пользователей.
Развертывание сертификатов Windows в масштабе всей системы
В Firefox с 49 до 51 он поддерживает только «корневой» магазин. Начиная с Firefox 52, он поддерживает другие хранилища, в том числе добавленные из домена через AD.
Это немного выходит за рамки, но объясняет, какое хранилище сертификатов было единственным, поддерживаемым Firefox для версий от 49 до 51 или только для локального тестирования. Поскольку это развертывается для всех пользователей локальных компьютеров, для этого требуются права администратора в окне CMD / PowerShell или в вашем собственном сценарии автоматического развертывания.
certutil -addstore Root path\to\cafile.pem
Это также можно сделать из консоли управления, щелкнув по множеству окон, если вы предпочитаете мышь ( Как: просмотреть сертификаты с помощью оснастки MMC ).
certutil -addstore Root path\to\cafile.pem
(или .crt)Рассматривали ли вы развертывание этих сертификатов в Firefox, а также в хранилище сертификатов Windows?
https://wiki.mozilla.org/CA:AddRootToFirefox подробно описывает несколько вариантов:
certutil
.Используйте функцию автоматической настройки Firefox, поместив файл javascript рядом с двоичным файлом, чтобы добавить сертификаты:
источник
Не существует хорошего способа справиться с использованием системного хранилища, но есть хороший обходной путь (принудительное использование настраиваемого магазина, совместимого с Firefox).
Бит скрипта ниже хорошо работает при входе / выходе из системы.
источник
Есть бесплатный проект, который предоставляет возможность управлять корневыми сертификатами Firefox с помощью групповых политик. Вы можете установить или удалить корневые сертификаты из базы данных Firefox.
источник