Есть ли способ удаленно развернуть новые сертификаты CA для установок Firefox?
Другими словами, что-то изменилось с тех пор, как был дан ответ на этот вопрос Установка сертификата CA на нескольких компьютерах с Windows (IE / Firefox)
С участием certutil
с помощью NSS Tools [1] вы можете управлять базами данных сертификатов, используемыми такими программами, как Firefox и Thunderbird [2]:
certutil.exe -A -n <cert name> -t <trust> -i <cert filepath> -d <firefox/thunderbird profile dirpath)
Пример, который добавляет файл сертификата mycompany.pem как mycompany в профиль Firefox и доверяет ему как CA, который может выдавать клиентские сертификаты для SSL, электронной почты и подписи (_C,C,C
), а также сертификаты серверов для SSL (T_,_,_
). Следует делать, когда программное обеспечение не запущено.
certutil.exe -A -n "mycompany" -t "CT,C,C" -i "mycompany.pem" -d "C:\Users\johndoe\AppData\Roaming\Mozilla\Firefox\Profiles\someprofile.abcdef"
# Remote profile accessed via administrative share
certutil.exe -A -n "mycompany" -t "CT,C,C" -i "mycompany.pem" -d "\\computer\c$\Users\johndoe\AppData\Roaming\Mozilla\Firefox\Profiles\someprofile.abcdef"
Вы также можете запустить первую команду через PsTools's PsExec
.
Источники NSS Tools можно получить из https://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/ (некоторые двоичные файлы Windows можно найти в Интернете, но, учитывая характер безопасности: лучше скомпилировать его самостоятельно)
[1]: Службы сетевой безопасности: https://developer.mozilla.org/docs/NSS/tools/NSS_Tools_certutil
[2]: они используют База данных Netscape Communicator с файлами cert8.db
и key3.db
.