Firefox 使用自己独立的证书管理器(Certificates Manager),并没有像 IE 和 Chrome 那样直接使用 Windows 系统中的证书存储。所以有时候我们除了需要在 Windows 中添加受信任的根证书外,还需要重新在 Firefox 中添加一回。下面介绍如何将自签发的 SSL 证书导入为 Firefox 中的受信任根证书。
因为在自己的 Linode VPS 上部署了 SSL 加密服务以 通过 HTTPS 加密连接来传输敏感数据,比如登录过程、后台管理等,使用的是自己签发的 SSL 证书。需要自己手动将证书添加到信任列表中。在前面介绍微软 Internet Explorer 和谷歌 Chrome 浏览器中,也就是在 Windows 系统中安装自签发安全证书的时候已经对相关内容作了一些介绍,下面就不再啰嗦,直接说 Firefox 中的证书安装过程了。
本例所使用的 Firefox 版本为 15,其它一样。这方面 Firefox 做得很好,没有大的改变以利于用户习惯。
1. 添加安全例外¶
警告:只有当你确认要安装的安全证书是可以信任的情况下才能安装,否则可能带来严重的安全问题,甚至造成财产损失。下面将介绍如何安装非授权机构发行的安全证书为受信任的根证书。
如果一个网站使用了未被 Firefox 包含的 SSL 安全证书时,如果 HTTPS 加密连接访问它,就会收到安全提示,如下图所示(虽然我的是英文界面,但页面内容和布局是一样的)。
中文显示提示内容的是:
此连接是不受信任的
您想使用 Firefox 来安全连接至 cnzhx.net,但是我们无法确认此连接为安全的。
通常,当您尝试安全连接时,站点会出示受信任的标识,以证明您访问的是正确的地址。然而,现在无法验证此网站的标识。
怎么办?
如果您过去连接到此网站并且没有发现问题,那么此错误信息表示可能有人想冒充该网站,所以您应该停止浏览。
- 技术细节
cnzhx.net 使用了无效的安全证书。
该证书因为其自签名而不被信任。
(错误码: sec_error_untrusted_issuer)- 我已充分了解可能的风险
如果您了解现在所发生的一切,您可以告诉 Firefox 并让它信任此站点的标识。
即使您信任此站点,这个错误还表明可能有人尝试干扰您的连接。
不要随便添加例外,除非您知道并认同该网站不使用受信任标识的理由。
单击展开 I Understand the Risks(我已充分了解可能的风险),下面有个 Add Exception..(添加例外),单击就会打开确认页面。
该页面上面是要添加的证书信息,单击下面的 Confirm Security Exception(确认安全例外)即可将当前使用的 CA 添加到 Firefox 内置的证书管理器中。然后该网站就可以正常打开了。
需要注意的是,添加的 CA 证书是与当前访问的网站域名紧密相关的。比如对 cnzhx.net 添加了例外,并不包含对其二级域名 test.cnzhx.net 的例外。另外,我们还可以编辑该证书的信任范围,见下面的 3。
2. 打开证书管理器(Certificate Manager)¶
此时打开 Firefox 内置的证书管理器(Certificates Manager)就可以找到刚才添加的例外证书了。
要打开 Firefox 证书管理器,请打开 Firefox 选项(Options)管理窗口。如果找不到选项(Options)菜单项,可以按一下键盘上 Alt 键,就会出现 Firefox 的工具栏,单击工具栏中的 工具(Tools) ——> 选项(Options)即可打开 Firefox 选项(Options)管理窗口。如下图所示。
在选项(Options)窗口中点击最左边的 高级(Advanced)标签,然后单击 查看证书(View Certificates)即可打开证书管理器,如下图所示。
上图所示页面是 Firefox 证书管理器的 服务器(Server)标签页。这里列举了被下一个标签页 机构(Authorities)里存储的证书认证的服务器 / 网站域名(:端口)。
3. 管理证书¶
在 Firefox 证书管理器的 机构(Authorities)标签页(如下图)可以对证书进行诸如查看、编辑信任、导入、导出、删除或取消信任等操作。
选中要编辑的证书,如上图所示,即可对其进行管理。图中 cnzhx.net 是我自己签发的证书的名称,前面的 CnZhx, LLC 是我设置的组织名称,也就是证书的发行机构。
View(查看):查看证书中包含的详细信息。
Edit Trust(编辑信任范围):可以像对待 GoAgent CA 那样将自己签发的证书的信任范围设置为“服务器”,即,该证书可以用于标识一个服务器不是假冒的。(参考这里)
在这里,你将会被问及以下内容:
You have been asked to trust a new Certificate Authority (CA).
Do you want to trust “CA Cert Signing Authority” for the following purposes?
[ ] Trust this CA to identify web sites.(验证网站)
[ ] Trust this CA to identify email users.(验证邮件用户)
[ ] Trust this CA to identify software developers.(验证软件作者)
Before trusting this CA for any purpose, you should examine its certificate
and its policy and procedures (if available).
[VIEW] Examine CA certificate
勾选第一项,信任此 CA 所验证的网站,即可。
Import(导入):如果你已经有了 .crt 或其它兼容格式的 CA 证书文件,就可以直接从这里导入该证书,而不需要经过前面的添加例外过程了。
Export(导出):可以将选定的证书导出为一个 .crt 文件。该文件可用于导入到别的证书管理器。
Delete or Distrust(删除或取消信任):这个意思应该很明显吧。如果你觉得上面列表中的某个机构发行的证书存在安全风险或者仅仅是你自己不信任它,就可以点击这里将其从列表中清除。比如之前提到的 CNNIC CA 风波中就用到了这个。©
本文发表于水景一页。永久链接:<http://cnzhx.net/blog/add-a-ssl-ca-to-firefox/>。转载请保留此信息及相应链接。