2

ユーザープロファイルが存在する前に、RHEL 6 (または CentOS、または Scientific Linux ... が同じであると予想されます) で、Firefox が信頼する CA に証明書を追加したいと考えています。

既存のユーザー プロファイルに証明書を追加する方法を知っています。私はそれをする必要はまったくありません。キックスタート中にこれを行いたい (無人、X を起動したくない) ため、実際にはユーザーの Firefox を起動し、プロファイルを作成し、通常の方法で追加することはできません。システム上のユーザーが Firefox を初めて開いたときに証明書が必要です。

Firefox がユーザー プロファイルに加えて読み取る CA のシステム ストアがないことはわかっています (ただし、ユーザー プロファイルにあるものよりもはるかに信頼しているため、どこかに内部ストアがあることは明らかです)。わかりました。証明書が既に追加された状態でユーザー プロファイルを作成したいだけです。

これが可能である、または可能であったという兆候を見てきました。たとえば、 https : //support.mozilla.org/en-US/questions/967376 は、Windows で cert8.db を配置する場所を示しています。https://askubuntu.com/questions/244582/add-certificate-authorities-system-wide-on-firefox/369858#369858は、/etc/firefox-3.0/profile が Ubuntu で機能したことを示しています (RHEL の下にそのような場所はありません) )。

RHEL 6 でこれを行う場所を特定できません。certutil を使用して、次のディレクトリの下に証明書データベースを追加しようとしました。これらのディレクトリは、firefox RPM によって所有され、有望と思われました。

/usr/lib64/firefox/browser
/usr/lib64/firefox/browser/defaults
/usr/lib64/firefox/defaults

... それでも、ユーザー プロファイルが作成されると、certutil は同じ内容を示します。

certutil -L -d .mozilla/firefox/*.default/
Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI
VeriSign Class 3 Secure Server CA - G3                       ,,   
DigiCert High Assurance EV CA-1                              ,,   
Google Internet Authority G2                                 ,,

それらの証明書がどこから来たのかさえわかりません。それだけでも役立つかもしれません。

4

1 に答える 1

2

ユーザーのデフォルトを変更せずに、やろうとしていることを実行できるとは思いません。私がこれを言う理由は、Mozilla がデフォルトのルート CA のセットをどのようにバンドルするかによるものです。Mozilla 製品がルート証明書のユーザー変更にどのように対応するかを参照してください

Mozilla Foundation とその完全子会社である Mozilla Corporation は、さまざまな認証局 (CA) 用の X.509v3 証明書のデフォルト セットをこのようなソフトウェアに含めています。

ただし、Skeleton Filesを使用してすべてのユーザーのデフォルトのセットを定義し、プロファイルが作成されたときに各ユーザーが既に持っているものとしてデフォルトを提供するだけで、Mozilla が概説するのと同じプロセスに従うことができます。

于 2014-05-07T14:32:59.410 に答える