फ़ायरफ़ॉक्स ट्रस्ट सिस्टम CA प्रमाण पत्र कैसे बनाये?

29

हमारे नेटवर्क व्यवस्थापक ने हाल ही में हमारे फ़ायरवॉल / राउटर पर HTTPS निरीक्षण सक्षम किया है। IE उपयोगकर्ताओं के लिए यह ठीक है क्योंकि सभी डोमेन-ज्वाइन किए गए मशीनों के लिए सक्रिय निर्देशिका के माध्यम से वितरित किए गए हैं। हालाँकि, हमारे पास कई फ़ायरफ़ॉक्स उपयोगकर्ता हैं जो अब व्यावहारिक रूप से हर HTTPS साइट पर प्रमाणपत्र त्रुटियों को फेंक रहे हैं।

फ़ायरफ़ॉक्स अपने स्वयं के सीए स्टोर का उपयोग करता है, और वे इसके बारे में वास्तविक गर्व भी करते हैं । क्या डिफ़ॉल्ट रूप से सिस्टम सर्टिफिकेट स्टोर पर भरोसा करने के लिए फ़ायरफ़ॉक्स प्राप्त करने का कोई तरीका है? मैं लिनक्स में ऐसा करने के लिए बहुत सारे पोस्ट देखता हूं, लेकिन विंडोज के लिए कुछ भी नहीं।

मुझे इस पोस्ट से संदेह है कि यह संभव नहीं है, लेकिन यह पोस्ट लगभग 4 साल पुरानी है।

windows  firewall  ssl-certificate  certificate-authority  firefox 
वेस सईद
स्रोत

जवाबों:

46

फ़ायरफ़ॉक्स 49 के बाद से विंडोज सीए सर्टिफिकेट के लिए कुछ समर्थन है और सक्रिय निर्देशिका के लिए समर्थन फ़ायरफ़ॉक्स 52 के बाद से एंटरप्राइज रूट प्रमाणपत्र प्रदान करता है। यह 63 संस्करण के बाद से किचेन से पढ़ने के लिए मैकओएस में भी समर्थित है।

फ़ायरफ़ॉक्स 68 के बाद से यह सुविधा ईएसआर (उद्यम) संस्करण में डिफ़ॉल्ट रूप से सक्षम है, लेकिन (मानक) तेजी से रिलीज में नहीं।

आप about:configइस बूलियन मान को बनाकर Windows और macOS के लिए इस सुविधा को सक्षम कर सकते हैं :

security.enterprise_roots.enabled

और इसे सेट करें true

जीएनयू / लिनक्स के लिए, यह आमतौर पर पी 11-किट-ट्रस्ट द्वारा प्रबंधित किया जाता है और किसी ध्वज की आवश्यकता नहीं होती है।

विन्यास प्रणाली को व्यापक रूप से तैनात करना

फ़ायरफ़ॉक्स 64 के बाद से, नीतियों का उपयोग करके एक नया और अनुशंसित तरीका है, https://support.mozilla.org/en-US/kb/setting-certificate-authorities-firefox पर प्रलेखित

विरासत संस्करणों के लिए, फ़ायरफ़ॉक्स इंस्टॉलेशन फ़ोल्डर को विंडोज रजिस्ट्री से पुनर्प्राप्त किया जा सकता है, फिर defaults\pref\उपनिर्देशिका पर जाएं और निम्नलिखित के साथ एक नई फ़ाइल बनाएं:

/* Allows Firefox reading Windows certificates */    
pref("security.enterprise_roots.enabled", true);

.jsविस्तार के साथ इसे सहेजें , जैसे trustwincerts.jsऔर फ़ायरफ़ॉक्स पुनः आरंभ करें। प्रविष्टि about:configसभी उपयोगकर्ताओं के लिए दिखाई देगी ।

विंडोज सर्टिफिकेट सिस्टम को व्यापक रूप से नियुक्त करना

फ़ायरफ़ॉक्स में 49 से 51 तक, यह केवल "रूट" स्टोर का समर्थन करता है। फ़ायरफ़ॉक्स 52 के बाद से, यह अन्य दुकानों का समर्थन करता है, जिनमें एडी के माध्यम से डोमेन से जोड़ा गया है।

यह कुछ हद तक सही है लेकिन बताते हैं कि केवल 49 से 51 संस्करणों के लिए या स्थानीय परीक्षण के लिए फ़ायरफ़ॉक्स द्वारा समर्थित एकमात्र प्रमाणपत्र स्टोर था। चूँकि यह सभी स्थानीय मशीन उपयोगकर्ताओं के लिए है, इसलिए इसे आपके CMD / PowerShell विंडो में या आपकी स्वचालित तैनाती लिपि में प्रशासक के विशेषाधिकारों की आवश्यकता है:

certutil -addstore Root path\to\cafile.pem

यदि आप माउस तरीका पसंद करते हैं ( MMC स्नैप-इन के साथ प्रमाण पत्र देखें) को पसंद करते हैं तो यह बहुत सारी खिड़कियों पर क्लिक करके प्रबंधन कंसोल से भी किया जा सकता है ।

क्या आप जानते हैं कि किस सर्टिफिकेट को काम करने के लिए सर्टिफिकेट स्टोर करना पड़ता है?
ईटीएल
@ETL मैंने केवल स्थानीय मशीन सिस्टम ट्रस्ट स्टोर के साथ परीक्षण किया है, जो सभी मशीन खातों के साथ काम करने के रूप में अच्छा है। एक अन्य उत्तर में उल्लेखित मोज़िला विकी पेज के अनुसार, वे फ़ायरफ़ॉक्स 52 में पूर्ण प्रमाणित समर्थन (एडी सेर्ट्स सहित) को पूरा करने की उम्मीद करते हैं। डिफ़ॉल्ट रूप से, certmgr.msc उपयोगकर्ता प्रमाणपत्र को दिखाता है, लेकिन आपको इसे स्थानीय मशीन सर्टिफ़िकेट में जोड़ने की आवश्यकता है। आप इसे पोस्ट करने के लिए Windows certutil (मोज़िला के NSS प्रमाणित के साथ भ्रमित न करें) का उपयोग कर सकते हैं।
ARG। मेरे पास प्रमाणपत्र है (मैं स्थानीय मशीन के विश्वसनीय रूट प्रमाणन प्राधिकरणों के लिए समूह नीतियों का उपयोग करके उन्हें जोड़ रहा हूं)। मैंने फ़ायरफ़ॉक्स विकल्प को चालू कर दिया है लेकिन अभी भी एफएफ 50.1 पर प्रमाण पत्र का उपयोग नहीं किया गया है। क्या आपके पास अपने अनाज थे?
ETL
2
चेकलिस्ट है: 1: फ़ायरफ़ॉक्स उन्नत -> प्रमाणपत्रों में विंडोज प्रमाणपत्रों को सूचीबद्ध नहीं करता है, लेकिन विश्वसनीय मार्ग के रूप में काम करना चाहिए। 2: सर्वर सर्टिफिकेट उस CA के साथ बनाया जाना चाहिए, CA का उपयोग करते हुए सीधे सर्वर सर्टिफिकेट काम नहीं करेगा। 3: सर्वर प्रमाण पत्र ठीक से उत्पन्न होना चाहिए, विषय वैकल्पिक नामों के लिए CA नीतियों को विरासत में मिला। 4: अगर सर्टिफिकेट गलत है, तो Microsoft के सर्टिफिकेट का उपयोग करने का प्रयास करें, मैं यह करता हूं: एक प्रशासक cmd विंडो में: certutil -addstore Root path\to\cafile.pem(या .crt)
1
इसका उल्लेख मोज़िला विकी में भी है ।
फ्रेंकलिन यू
2

क्या आपने उन प्रमाणपत्रों को फ़ायरफ़ॉक्स के साथ-साथ विंडोज सर्टिफ़िकेट स्टोर पर तैनात करने पर विचार किया है?

https://wiki.mozilla.org/CA:AddRootToFirefox कुछ विकल्पों का विवरण देता है:

  1. सीधे उपयोग कर सर्टिफिकेट डेटाबेस को संशोधित करें certutil

  2. प्रमाणपत्रों को जोड़ने के लिए, बाइनरी के साथ एक जावास्क्रिप्ट फ़ाइल रखकर फ़ायरफ़ॉक्स की ऑटोकैफ़िग सुविधा का उपयोग करें:

    var certdb = Cc["@mozilla.org/security/x509certdb;1"].getService(Ci.nsIX509CertDB);
var certdb2 = certdb;
try {
    certdb2 = Cc["@mozilla.org/security/x509certdb;1"].getService(Ci.nsIX509CertDB2);
} catch (e) {}
cert = "MIIHPT...zTMVD"; // This should be the certificate content with no line breaks at all.
certdb2.addCertFromBase64(cert, "C,C,C", "");
  3. प्रमाणपत्र डेटाबेस फ़ाइलों को सीधे वितरित करें।
  4. स्थापना के लिए पैकेज फ़ायरफ़ॉक्स, आपके वितरण में प्रमाण पत्र सहित।
  5. प्रमाणपत्र जोड़ने वाली एक्सटेंशन बनाने के लिए CCK2 का उपयोग करें ।
wfaulk
स्रोत
1

सिस्टम स्टोर के उपयोग को मजबूर करने का एक अच्छा तरीका नहीं है, लेकिन एक अच्छा समाधान है (एक अनुकूलित फ़ायरफ़ॉक्स संगत स्टोर के उपयोग को मजबूर करें)।

नीचे दी गई स्क्रिप्ट का लॉगिन / लॉगऑफ में अच्छा काम करता है। 

Stop-Process -processname firefox

$DBPath="\\yourserver\yourshare\cert8.db"
$FirefoxProfiles=Get-ChildItem $Env:appdata\Mozilla\Firefox\Profiles     
$DB=Get-Item $DBPath    
ForEach ( $Profile in $FirefoxProfiles )
{
    $FullPath=join-path $Env:appdata\Mozilla\Firefox\Profiles $Profile
    Copy-Item $DB $FullPath
    $FullPath
}
टिम ब्रिघम
स्रोत
आप इस तरह के एक विचार पर भी विस्तार कर सकते हैं और विंडोज स्टोर से बाहर विश्वसनीय खानों की वर्तमान सूची को पकड़ सकते हैं और wfaulk के उत्तर में संदर्भित मोज़िला सर्टिफिकेट का उपयोग करके फ्लाई पर cert8.db फ़ाइल उत्पन्न कर सकते हैं।
रयान बोल्गर
1

नहीं है मुक्त परियोजना कि फ़ायरफ़ॉक्स जड़ समूह नीतियों का उपयोग प्रमाण पत्र प्रबंधित करने की क्षमता प्रदान करता है। आप या तो फ़ायरफ़ॉक्स डेटाबेस से रूट प्रमाणपत्र स्थापित या हटा सकते हैं।

Slipeer
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.