2

我想在 RHEL 6(或 CentOS 或 Scientific Linux ......希望它是相同的)上,在任何用户配置文件存在之前,向 Firefox 信任的 CA 添加一个证书。

我知道如何将证书添加到现有用户配置文件。我根本不需要这样做。我想在 kickstart 期间执行此操作(无人值守,不想启动 X),因此我无法真正为用户启动 Firefox、创建配置文件并以正常方式添加它。当系统上的用户第一次打开 Firefox 时,我需要证书在那里。

我知道除了用户配置文件之外,Firefox 没有读取 CA 的系统存储(尽管它显然在某处有一个内部存储,因为它比用户配置文件中的内容更信任)。没关系,我只希望使用已添加的证书创建用户配置文件。

我已经看到一些迹象表明这是可能的,或者是可能的。例如https://support.mozilla.org/en-US/questions/967376表示将 cert8.db 放在 Windows 下的位置;https://askubuntu.com/questions/244582/add-certificate-authorities-system-wide-on-firefox/369858#369858表示 /etc/firefox-3.0/profile 在 Ubuntu 上工作(在 RHEL 下没有这样的位置)。

我无法确定在 RHEL 6 下在哪里执行此操作。我尝试在以下目录下使用 certutil 添加证书数据库,这些目录由 firefox RPM 拥有并且看起来很有希望:

/usr/lib64/firefox/browser
/usr/lib64/firefox/browser/defaults
/usr/lib64/firefox/defaults

...但是,当创建用户配置文件时, certutil 指示相同的内容:

certutil -L -d .mozilla/firefox/*.default/
Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI
VeriSign Class 3 Secure Server CA - G3                       ,,   
DigiCert High Assurance EV CA-1                              ,,   
Google Internet Authority G2                                 ,,   

我什至不知道这些证书是从哪里来的;做这么多可能会有所帮助。

4

1 回答 1

2

我不认为你可以在不改变用户默认值的情况下做你想做的事情。我之所以这么说是因为 Mozilla 如何捆绑其默认的 Root CA 集。请参阅Mozilla 产品如何响应用户更改根证书

Mozilla 基金会及其全资子公司 Mozilla Corporation 在此类软件中包含一组用于各种证书颁发机构 (CA) 的默认 X.509v3 证书。

但是,话虽如此,您可以使用Skeleton Files为所有用户定义一组默认值,并遵循 Mozilla 概述的相同过程,只需提供您的默认值作为每个用户在创建个人资料时已经拥有的东西。

于 2014-05-07T14:32:59.410 回答