Мне нужно настроить веб-сервер IIS, к которому будет обращаться небольшое конечное число пользователей. Я рассматривал возможность использования только самозаверяющего сертификата и его ручной установки в пользовательских системах.
Поэтому я сгенерировал сертификат с помощью инструментов IIS, установил его на веб-сервере и экспортировал в файл .cer.
Мне нужно настроить веб-сервер IIS, к которому будет получать доступ небольшое конечное число пользователей. Я рассматривал возможность использования только самозаверяющего сертификата и его ручной установки в пользовательских системах.
Поэтому я сгенерировал сертификат с помощью инструментов IIS, установил его на веб-сервере и экспортировал в файл .cer.
Мне нужно настроить веб-сервер IIS, к которому будет получать доступ небольшое конечное число пользователей. Я рассматривал возможность использования только самозаверяющего сертификата и его ручной установки в пользовательских системах.
Поэтому я сгенерировал сертификат с помощью инструментов IIS, установил его на веб-сервере и экспортировал в файл .cer. Добавление доверенных органов в настройки Windows хорошо работает с Internet Explorer: оно удаляет предупреждение о небезопасности.
В firefox я не могу заставить его работать. Включение опции security.enterprise_roots.enabled не помогает. В настройках сертификата Firefox я не могу импортировать его на панель «Центры», я получаю сообщение об ошибке:
Это не сертификат центра сертификации, поэтому его нельзя импортировано в список центров сертификации
Что я могу сделать? Я не хочу добавлять исключение в Firefox, поскольку он навсегда отключает любую проверку сертификатов на URL-адресе, что означает, что любой человек в средней атаке становится прямым. Я хочу, чтобы пользователь не мог получить доступ к веб-сайту, если сертификат изменится на сервере.
Для добавления в список центров сертификации в Firefox сертификат должен иметь расширение X509v3 CA: TRUE
, например
X509v3 extensions:
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE
Это было бы так, если бы у вас был собственный частный сертификат ЦС, используемый для подписи сертификатов вашего сервера: вы могли бы импортировать его и использовать для подписи всех сертификатов вашего частного сервера, сделав их одновременно доверенными в браузере. Для самозаверяющих сертификатов самым простым решением является добавление исключения. Ярлык: chrome: //pippki/content/exceptionDialog.xul
. Это делает исключение только для ЭТОГО сертификата. Вы все равно получите предупреждение о ненадежном сертификате, если сертификат изменится.
Возможно, разрешить Firefox доверять ЦС из Windows , начиная с Firefox 49 ( Ошибка 1265113 ). Параметр конфигурации - security.enterprise_roots.enabled
. По умолчанию для него не будет установлено значение true
( Ошибка 1314010 ), но наличие этого параметра в качестве предпочтения конфигурации позволяет распространять его через групповую политику, что делает его идеальным расширением. для сертификатов CA, установленных через GPO.
В настоящее время по умолчанию general.config.filename
кажется уже установленным на mozilla.cfg
. Вам просто нужно добавить эту строку в файл (заменить ее с помощью групповой политики) % ProgramFiles% \ Mozilla Firefox \ Mozilla.cfg
:
pref("security.enterprise_roots.enabled", true);
Чтобы заблокировать настройку, чтобы пользователи не могли ее изменять с помощью about: config
, используйте вместо него lockPref ()
.