如何让 Firefox 在我的计算机上信任我公司的证书?

如何让 Firefox 在我的计算机上信任我公司的证书?

我想在 Ubuntu 20.04 上使用 Mozilla Firefox,问题是让 Firefox 信任我公司的证书。

首先,我按照说明安装了根/CA 证书这个答案 光这样做没有效果,所以我继续这样做Mozilla 支持文章。Linux 部分很短,所以我只是尝试设置security.enterprise_roots.enabledtrue

我还将证书添加到了/usr/share/ca-certificates/mozilla

当我尝试访问该内部网站时,我得到:

警告:未来存在潜在安全风险

Firefox 检测到潜在的安全威胁,因此未继续访问 hostname.internal。如果您访问此网站,攻击者可能会试图窃取您的密码、电子邮件或信用卡详细信息等信息。

你能为这个做什么?

该问题很可能出在网站上,而且你无法采取任何措施来解决它。

如果您使用公司网络或防病毒软件,您可以联系支持团队寻求帮助。您也可以将问题通知网站管理员。

我还尝试了以下操作来验证将证书安装到操作系统是否有效。似乎没有成功...

$ curl -I https://hostname.internal/
HTTP/1.1 200 Connection established

curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

有人可以解释一下发生了什么事吗?或者可以提供一些我可以采取的进一步步骤来分析问题?

答案1

Firefox 有自己的证书存储,不使用 中的系统范围证书/usr/share/ca-certificates,因此您链接的第一个答案对 Firefox 没有影响。(您链接的答案的评论中也明确说明了这一点)

Mozilla 的第二篇文章对我来说似乎太复杂了。

它应该按以下方式工作(至少对我来说是有效的):

在 Firefox 中,转到“首选项”->“隐私和安全”->“证书”->“查看证书”->“导入”。选择包含证书的文件。Firefox 应该会询问您应该将证书存储在哪个类别下,选择“颁发机构”。或者它可能会自行识别出这是 CA 证书并将其放在适当的类别下。完成导入过程后,您可以检查导入的证书是否显示在“颁发机构”部分中。

这里还有更多关于 Firefox 的答案:在 Firefox 系统范围内添加证书颁发机构

答案2

您可以启用企业根证书偏好设置,然后允许 Firefox 使用操作系统 CA 根证书。

这似乎是一项新功能,旨在解决供应商在 Firefox 上注册证书的滞后问题。当出现 TLS 错误时,Firefox 会自动启用此功能,以查看是否能解决问题。

about:config 
security.enterprise_roots.enabled = true

security.certerrors.mitm.auto_enable_enterprise_roots允许 Firefox 在 TLS 失败时自动尝试打开此功能。

我之所以找到这篇文章,是因为 Firefox 确实这样做了 - 它在 Mac OS 钥匙串中找到了我的个人开发 CA 证书并启用了此功能,而我当时正试图将我的 CA 证书安装到 Firefox 中(按照接受的答案)。在挂锁图标下的地址栏中,它显示“连接由 Mozilla 无法识别的证书颁发机构验证”,并附有文章链接。

https://mzl.la/3vVLmzx

相关内容