我想在 Ubuntu 20.04 上使用 Mozilla Firefox,问题是让 Firefox 信任我公司的证书。
首先,我按照说明安装了根/CA 证书这个答案
光这样做没有效果,所以我继续这样做Mozilla 支持文章。Linux 部分很短,所以我只是尝试设置security.enterprise_roots.enabled为true。
我还将证书添加到了/usr/share/ca-certificates/mozilla。
当我尝试访问该内部网站时,我得到:
警告:未来存在潜在安全风险
Firefox 检测到潜在的安全威胁,因此未继续访问 hostname.internal。如果您访问此网站,攻击者可能会试图窃取您的密码、电子邮件或信用卡详细信息等信息。
你能为这个做什么?
该问题很可能出在网站上,而且你无法采取任何措施来解决它。
如果您使用公司网络或防病毒软件,您可以联系支持团队寻求帮助。您也可以将问题通知网站管理员。
我还尝试了以下操作来验证将证书安装到操作系统是否有效。似乎没有成功...
$ curl -I https://hostname.internal/
HTTP/1.1 200 Connection established
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.haxx.se/docs/sslcerts.html
curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.
有人可以解释一下发生了什么事吗?或者可以提供一些我可以采取的进一步步骤来分析问题?
答案1
Firefox 有自己的证书存储,不使用 中的系统范围证书/usr/share/ca-certificates,因此您链接的第一个答案对 Firefox 没有影响。(您链接的答案的评论中也明确说明了这一点)
Mozilla 的第二篇文章对我来说似乎太复杂了。
它应该按以下方式工作(至少对我来说是有效的):
在 Firefox 中,转到“首选项”->“隐私和安全”->“证书”->“查看证书”->“导入”。选择包含证书的文件。Firefox 应该会询问您应该将证书存储在哪个类别下,选择“颁发机构”。或者它可能会自行识别出这是 CA 证书并将其放在适当的类别下。完成导入过程后,您可以检查导入的证书是否显示在“颁发机构”部分中。
这里还有更多关于 Firefox 的答案:在 Firefox 系统范围内添加证书颁发机构
答案2
您可以启用企业根证书偏好设置,然后允许 Firefox 使用操作系统 CA 根证书。
这似乎是一项新功能,旨在解决供应商在 Firefox 上注册证书的滞后问题。当出现 TLS 错误时,Firefox 会自动启用此功能,以查看是否能解决问题。
about:config
security.enterprise_roots.enabled = true
并security.certerrors.mitm.auto_enable_enterprise_roots允许 Firefox 在 TLS 失败时自动尝试打开此功能。
我之所以找到这篇文章,是因为 Firefox 确实这样做了 - 它在 Mac OS 钥匙串中找到了我的个人开发 CA 证书并启用了此功能,而我当时正试图将我的 CA 证书安装到 Firefox 中(按照接受的答案)。在挂锁图标下的地址栏中,它显示“连接由 Mozilla 无法识别的证书颁发机构验证”,并附有文章链接。