如何使Firefox信任系统CA证书？

Question

我们的网络管理员最近在我们的防火墙/路由器上启用了HTTPS检查。对于IE用户来说，这很好，因为证书都是通过Active为已加入域的计算机分发的。然而，我们有许多Firefox用户现在正在几乎每个HTTPS站点上抛出证书错误。

火狐使用他们自己的CA商店，他们也为此感到骄傲。默认情况下，是否有任何方法让Firefox信任系统证书存储？我看到了很多关于如何在Linux中这样做的文章，但对于Windows却没有。

我从这个职位那里怀疑这是不可能的，但是这个帖子已经将近4年了。

Answer 1

自从Firefox49之后，就有了对Windows证书的一些支持和对Active的支持，从Firefox52开始就提供了企业根证书。在macOS中也支持从63版本开始从密钥链中读取。

由于Firefox 68默认情况下在ESR (企业)版本中启用了此功能，但在(标准)快速版本中却没有启用。

通过创建以下布尔值，可以在macOS中为about:config和Windows启用此功能：

security.enterprise_roots.enabled

并将其设置为true。

对于GNU/Linux，这通常是由p11-kit-信任管理的，不需要标记。

部署配置系统宽

从Firefox64开始，就有了一种新的、推荐的使用策略的方法，这在https://support.mozilla.org/en-US/kb/setting-certificate-authorities-firefox中有记录。

对于旧版本，可以从Windows注册表中检索Firefox安装文件夹，然后转到defaults\pref\子目录，并使用以下内容创建一个新文件：

/* Allows Firefox reading Windows certificates */    
pref("security.enterprise_roots.enabled", true);

用.js扩展保存它，例如trustwincerts.js并重新启动火狐。该条目将出现在about:config中，供所有用户使用。

部署Windows证书系统宽

在从49到51的Firefox中，它只支持“根”存储。从Firefox 52开始，它支持其他商店，包括那些通过AD从域添加的商店。

这有点超出了范围，但解释了Firefox支持的版本49到51或仅用于本地测试的唯一证书存储。因为这是为所有本地机器用户部署的，所以它需要在CMD/PowerShell窗口中或在您自己的自动部署脚本中具有管理员权限。

certutil -addstore Root path\to\cafile.pem

如果您喜欢鼠标方式(如何:使用MMC管理单元查看证书 )，也可以通过单击许多窗口从管理控制台执行此操作。

Answer 2

您是否考虑过将这些证书部署到Firefox以及Windows证书存储区？

https://wiki.mozilla.org/CA:AddRootToFirefox详细介绍了几个选项：

1. 使用certutil直接修改证书数据库。
2. 使用Firefox的autoconfig特性，将javascript文件与二进制文件放在一起添加证书: var certdb = Cc@mozilla.org/security/x509certdb；1“.getService(Ci.nsIX509CertDB)；var certdb2 = certdb；尝试{ certdb2 = Cc@mozilla.org/security/x509certdb；1“.getService(Ci.nsIX509CertDB2)；}certdb2 (e) {} cert = "MIIHPT...zTMVD"；//这应该是根本没有换行的证书内容。Certdb2.addCertFrombase 64(cert，"C，C，C"，"")；
3. 直接分发证书数据库文件。
4. 为安装打包Firefox，包括发行版中的证书。
5. 使用CCK2创建一个添加证书的扩展。

Answer 3

有免费项目提供了使用组策略管理火狐根证书的能力。您可以从Firefox数据库中安装或删除根证书。