ফায়ারফক্স বিশ্বাসের সিএ শংসাপত্র কীভাবে তৈরি করবেন?

29

আমাদের নেটওয়ার্ক প্রশাসক সম্প্রতি আমাদের ফায়ারওয়াল / রাউটারে এইচটিটিপিএস পরিদর্শন সক্ষম করেছেন। আইই ব্যবহারকারীদের পক্ষে এটি ঠিক আছে কারণ শংসাপত্রগুলি ডোমেন-যুক্ত মেশিনগুলির জন্য অ্যাক্টিভ ডিরেক্টরি মাধ্যমে বিতরণ করা হয়েছে। তবে, আমাদের মধ্যে বেশ কয়েকটি ফায়ারফক্স ব্যবহারকারী রয়েছে যা এখন প্রতিটি HTTPS সাইটে কার্যত শংসাপত্রের ত্রুটি ফেলে দিচ্ছেন।

ফায়ারফক্স তাদের নিজস্ব সিএ স্টোর ব্যবহার করে এবং তারা এটির জন্য সত্যই গর্বিত । ডিফল্টরূপে সিস্টেম শংসাপত্রের দোকানে ফায়ারফক্সকে বিশ্বাস করার কোনও উপায় আছে কি? লিনাক্সে এটি কীভাবে করা যায় সে সম্পর্কে আমি প্রচুর পোস্ট দেখতে পাচ্ছি তবে উইন্ডোজের জন্য কিছুই নেই।

আমি এই পোস্ট থেকে সন্দেহ করি যে এটি সম্ভব নয়, তবে সেই পোস্টটি প্রায় 4 বছরের পুরানো।

— ওয়েস সাeedদ
সূত্র

46

ফায়ারফক্স 49 যেহেতু উইন্ডোজ সিএ শংসাপত্রগুলির জন্য কিছু সমর্থন রয়েছে এবং ফায়ারফক্স ৫২ সাল থেকে অ্যাক্টিভ ডিরেক্টরি সরবরাহিত এন্টারপ্রাইজ রুট শংসাপত্রগুলির জন্য সমর্থন version৪ সংস্করণ থেকে এটি কেচেইন থেকে ম্যাকোজে সমর্থনযোগ্য in

ফায়ারফক্স 68 যেহেতু এই বৈশিষ্ট্যটি ESR (এন্টারপ্রাইজ) সংস্করণে ডিফল্টরূপে সক্ষম হয়েছে, তবে (মানক) দ্রুত প্রকাশে নয়।

আপনি about:configএই বুলিয়ান মান তৈরি করে উইন্ডোজ এবং ম্যাকোসের জন্য এই বৈশিষ্ট্যটি সক্ষম করতে পারেন :

security.enterprise_roots.enabled

এবং এটি সেট true।

জিএনইউ / লিনাক্সের জন্য, এটি সাধারণত p11-Kit-trust দ্বারা পরিচালিত হয় এবং কোনও পতাকা লাগবে না।

বিস্তৃত কনফিগারেশন সিস্টেম স্থাপন করা

ফায়ারফক্স 64৪ থেকে, নীতিগুলি ব্যবহার করে একটি নতুন এবং প্রস্তাবিত উপায় রয়েছে, https://support.mozilla.org/en-US/kb/setting-certificate-authorities-firefox এ নথিভুক্ত

উত্তরাধিকার সংস্করণগুলির জন্য, ফায়ারফক্স ইনস্টলেশন ফোল্ডারটি উইন্ডোজ রেজিস্ট্রি থেকে পুনরুদ্ধার করা যেতে পারে, তারপরে defaults\pref\সাব-ডিরেক্টরিতে যান এবং নিম্নলিখিতগুলির সাথে একটি নতুন ফাইল তৈরি করুন:

/* Allows Firefox reading Windows certificates */    
pref("security.enterprise_roots.enabled", true);

এটি .jsএক্সটেনশন সহ সংরক্ষণ করুন , যেমন trustwincerts.jsএবং ফায়ারফক্স পুনরায় চালু করুন। এন্ট্রি about:configসমস্ত ব্যবহারকারীর জন্য প্রদর্শিত হবে ।

বিস্তৃত উইন্ডোজ শংসাপত্র সিস্টেম স্থাপন করা

ফায়ারফক্সে 49 থেকে 51 অবধি, এটি কেবল "রুট" স্টোরকে সমর্থন করে। ফায়ারফক্স ৫২ সাল থেকে এটি এডি এর মাধ্যমে ডোমেন থেকে যুক্ত হওয়া স্টোর সহ অন্যান্য স্টোরকে সমর্থন করে।

এটি কিছুটা সুযোগের বাইরে নয় তবে ব্যাখ্যা করে যে কোনটিই ফায়ারফক্স দ্বারা 49 থেকে 51 সংস্করণ বা কেবল স্থানীয় পরীক্ষার জন্য সমর্থিত certificate যেহেতু এটি সমস্ত স্থানীয় মেশিন ব্যবহারকারীদের জন্য মোতায়েন করা হয়, এটির জন্য আপনার সিএমডি / পাওয়ারশেল উইন্ডোতে বা আপনার নিজস্ব স্বয়ংক্রিয় স্থাপনার স্ক্রিপ্টে প্রশাসকের সুযোগ সুবিধা প্রয়োজন:

certutil -addstore Root path\to\cafile.pem

এটি যদি আপনি মাউস ওয়েকে পছন্দ করেন (তবে কীভাবে: এমএমসি স্ন্যাপ-ইন দিয়ে শংসাপত্রগুলি দেখুন ) অনেকগুলি উইন্ডোজ ক্লিক করে ম্যানেজমেন্ট কনসোল থেকে এটি করা যেতে পারে ।

আপনি কি জানেন যে কোন শংসাপত্রের স্টোরটিতে এই কাজ করার জন্য শংসাপত্রটি লোড করা দরকার?

— ইটিএল

@ETL আমি কেবলমাত্র স্থানীয় মেশিন সিস্টেম ট্রাস্ট স্টোর দিয়ে পরীক্ষা করেছি, যা সমস্ত মেশিন অ্যাকাউন্টের সাথে কাজ করে তাই ভাল। মোজিলা উইকির পৃষ্ঠা অনুসারে অন্য উত্তরে উল্লিখিত তারা ফায়ারফক্স ৫২ এ পূর্ণ শংসাপত্র সমর্থন (এডি শংসাপত্র সহ) সম্পূর্ণ করার প্রত্যাশা করছেন default এটি মোতায়েনের জন্য আপনি উইন্ডোজ সার্টিটিল (মোজিলার এনএসএস সার্টিটিলের সাথে বিভ্রান্ত করবেন না) ব্যবহার করতে পারেন।

ARG। আমার কাছে শংসাপত্রটি রয়েছে (স্থানীয় মেশিনের বিশ্বস্ত রুট শংসাপত্র কর্তৃপক্ষগুলিতে গোষ্ঠী নীতিগুলি ব্যবহার করে আমি এগুলি যুক্ত করছি)। আমি ফায়ারফক্স অপশনটি চালু করেছিলাম তবে এখনও শংসাপত্রটি এফএফ 50.1 এ ব্যবহৃত হয় না। আপনি কি আপনার শংসাপত্র ছিল?

— ETL

2

চেকলিস্টটি হ'ল: ১: ফায়ারফক্স উইন্ডোজ শংসাপত্রগুলি অ্যাডভান্সড -> শংসাপত্রগুলিতে তালিকাভুক্ত করে না, তবে যাইহোক বিশ্বস্ত হিসাবে কাজ করা উচিত। 2: সার্ভার শংসাপত্রটি অবশ্যই সেই সিএ দিয়ে তৈরি করতে হবে, সরাসরি সিএ ব্যবহার করে সার্ভার শংসাপত্রটি কাজ করবে না। 3: সার্ভার শংসাপত্রটি যথাযথভাবে উত্পন্ন করা উচিত, বিষয় বিকল্পের সিএ নীতি উত্তরাধিকার সূত্রে প্রাপ্ত। 4: যদি সার্টসেটরটি ভুল হয়, মাইক্রোসফ্টের সার্টিটিল ব্যবহার করার চেষ্টা করুন, আমি এটি করি: প্রশাসকের certutil -addstore Root path\to\cafile.pemসিএমডি উইন্ডোতে: (বা। সিআরটি)

1

এটি মোজিলা উইকিতেও উল্লেখ করা হয়েছে ।

— ফ্র্যাংকলিন ইউ

2

আপনি কি সেই শংসাপত্রগুলি ফায়ারফক্সের পাশাপাশি উইন্ডোজ সার্ট স্টোরে স্থাপন করার কথা বিবেচনা করেছেন?

https://wiki.mozilla.org/CA:AddRootToFirefox কয়েকটি বিকল্পের বিবরণ দেয়:

সরাসরি ব্যবহার করে শংসাপত্রের ডাটাবেসটি সংশোধন করুন certutil।

শংসাপত্র যুক্ত করতে বাইনারি পাশাপাশি জাভাস্ক্রিপ্ট ফাইল রেখে ফায়ারফক্সের অটোকনফিগ বৈশিষ্ট্যটি ব্যবহার করুন:

var certdb = Cc["@mozilla.org/security/x509certdb;1"].getService(Ci.nsIX509CertDB);
var certdb2 = certdb;
try {
    certdb2 = Cc["@mozilla.org/security/x509certdb;1"].getService(Ci.nsIX509CertDB2);
} catch (e) {}
cert = "MIIHPT...zTMVD"; // This should be the certificate content with no line breaks at all.
certdb2.addCertFromBase64(cert, "C,C,C", "");

শংসাপত্রের ডাটাবেস ফাইলগুলি সরাসরি বিতরণ করুন।
আপনার বিতরণ শংসাপত্র সহ ইনস্টলেশন জন্য প্যাকেজ ফায়ারফক্স।
শংসাপত্র যুক্ত করে এমন একটি এক্সটেনশান তৈরি করতে সিসিকে 2 ব্যবহার করুন ।

— wfaulk
সূত্র

1

সিস্টেম স্টোরটি ব্যবহার করার জন্য জোর করে কোনও ভাল উপায় হ্যান্ডেল নেই, তবে একটি দুর্দান্ত কাজ রয়েছে (কাস্টমাইজড ফায়ারফক্স সামঞ্জস্যপূর্ণ স্টোর ব্যবহার করতে বাধ্য করুন)।

নীচের স্ক্রিপ্ট বিট লগইন / লগঅফ এ ভাল কাজ করে।

Stop-Process -processname firefox

$DBPath="\\yourserver\yourshare\cert8.db"
$FirefoxProfiles=Get-ChildItem $Env:appdata\Mozilla\Firefox\Profiles     
$DB=Get-Item $DBPath    
ForEach ( $Profile in $FirefoxProfiles )
{
    $FullPath=join-path $Env:appdata\Mozilla\Firefox\Profiles $Profile
    Copy-Item $DB $FullPath
    $FullPath
}

— টিম ব্রিগেহাম
সূত্র

এমনকি আপনি এই জাতীয় ধারণাটি প্রসারিত করতে পারেন এবং উইন্ডোজ স্টোরের বাইরে বিশ্বস্ত শংসাপত্রগুলির বর্তমান তালিকাটি ধরে ফেলতে পারেন এবং ডাব্লুএফএলকের উত্তরে উল্লেখ করা মোজিলা সার্টিটিল ব্যবহার করে ফ্লাইতে cert8.db ফাইলটি তৈরি করতে পারেন।

— রায়ান বোলজার

1

একটি নিখরচায় প্রকল্প রয়েছে যা গ্রুপ নীতিগুলি ব্যবহার করে ফায়ারফক্সের মূল শংসাপত্রগুলি পরিচালনা করার ক্ষমতা সরবরাহ করে। আপনি ফায়ারফক্স ডাটাবেস থেকে রুট শংসাপত্রগুলি ইনস্টল বা মুছে ফেলতে পারেন।

— Slipeer
সূত্র