gal*_*tte 4 iis certificate https firefox self-signed-certificate
我需要设置一个可供少数有限用户访问的 IIS 网络服务器。我正在考虑仅使用自签名证书,并在用户系统上手动安装它。
因此,我使用 IIS 工具生成了证书,将其安装在网络服务器上,并将其导出为 .cer 文件。将其添加到 Windows 设置中的受信任机构与 Internet Explorer 配合良好:它删除了不安全警告。
在 Firefox 中,我无法让它工作。启用 security.enterprise_roots.enabled 选项没有帮助。在 Firefox 证书设置中,我无法将其导入权限面板,我收到一条错误消息:
这不是证书颁发机构证书,因此无法导入到证书颁发机构列表中
我能做什么?我不想在 Firefox 中添加异常,因为它会永久禁用对 URL 的任何证书检查,这意味着任何中间人攻击都变得简单明了。如果服务器上的证书发生变化,我希望用户被阻止访问该网站。
为了添加到 Firefox 中的证书颁发机构列表,证书必须具有 X509v3 扩展名CA:TRUE,例如
X509v3 extensions:
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE
如果您有自己的私有 CA 证书用于签署您的服务器证书,就会出现这种情况:您可以导入它并使用它来签署您的所有私有服务器证书,使它们立即在浏览器中受到信任。
对于自签名证书,最简单的解决方案是添加一个例外。快捷方式:chrome://pippki/content/exceptionDialog.xul。仅此证书是一个例外。如果证书发生更改,您仍会收到不受信任证书的警告。
自 Firefox 49(错误 1265113)以来,允许 Firefox 信任来自 Windows 的 CA已经成为可能。配置参数是。默认情况下不会将其设置为( Bug 1314010 ),但将此作为配置首选项可以通过组策略分发它,这使其成为通过 GPO 安装的 CA 证书的完美扩展。security.enterprise_roots.enabledtrue
目前默认情况下general.config.filename似乎已经设置为mozilla.cfg. 您只需要将此行添加到文件中(使用组策略替换它)%ProgramFiles%\Mozilla Firefox\Mozilla.cfg:
pref("security.enterprise_roots.enabled", true);
要锁定设置,以便使用用户无法修改它about:config,使用lockPref(),来代替。