web-dev-qa-db-ja.com

Firefoxで自己署名証明書を追加できない

IIS少数の有限数のユーザーがアクセスするWebサーバーをセットアップする必要があります。自己署名証明書のみを使用し、ユーザーのシステムに手動でインストールすることを検討していました。

したがって、IISツールを使用して証明書を生成し、それをWebサーバーにインストールして、.cerファイルにエクスポートしました。Windows設定の信頼できる機関に追加すると、Internet Explorerで正常に機能します。安全でない警告。

Firefoxでは、それを機能させることができません。 security.enterprise_roots.enabledオプションを有効にしても効果はありません。 Firefox証明書の設定で、認証パネルにインポートできません。エラーメッセージが表示されます。

これは認証局の証明書ではないため、認証局リストにインポートできません

私に何ができる? Firefoxで例外を追加したくありません。これは、URLでの証明書チェックを永久に無効にするためです。つまり、中間者攻撃は簡単になります。サーバーで証明書が変更された場合、ユーザーがWebサイトにアクセスできないようにしたいのですが。

3
galinette

Firefoxの認証局リストに追加するには、証明書にX509v3拡張_CA:TRUE_が必要です。

_    X509v3 extensions:
        X509v3 Key Usage: critical
            Certificate Sign, CRL Sign
        X509v3 Basic Constraints: critical
            CA:TRUE
_

これは、サーバー証明書の署名に使用する独自のプライベートCA証明書がある場合に当てはまります。それをインポートして、すべてのプライベートサーバー証明書の署名に使用し、ブラウザーでそれらを一度に信頼することができます。

自己署名証明書の場合、最も簡単な解決策は、代わりに例外を追加することです。ショートカット:_chrome://pippki/content/exceptionDialog.xul_。これは、この証明書だけの例外です。証明書が変更されると、信頼されていない証明書に対する警告が引き続き表示されます。


Firefox 49( Bug 126511 )以降、FirefoxがWindowsのCAを信頼できるようになるようになりました。構成パラメーターは_security.enterprise_roots.enabled_です。デフォルトではtrueに設定されません( Bug 131401 )。ただし、これを構成設定として使用すると、グループポリシーを介して配布できるため、完全な拡張が可能になります。 GPO経由でインストールされたCA証明書の場合。

現在、デフォルトでは_general.config.filename_はすでに_mozilla.cfg_に設定されているようです。この行をファイルに追加するだけです(グループポリシーを使用して置き換えます)_%ProgramFiles%\Mozilla Firefox\Mozilla.cfg_:

_pref("security.enterprise_roots.enabled", true);
_

ユーザーが_about:config_を使用して設定を変更できないように設定をロックするには、代わりにlockPref()を使用します。

4
Esa Jokinen