将Firefox配置为使用适用于Umbrella的Windows证书存储区

下载选项

  • PDF     (340.4 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (79.2 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (64.6 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2025 年 8 月 28 日
文档 ID:224707

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何配置Firefox以部署Umbrella Root CA。

    概述

    部署Cisco Umbrella Root CA对Firefox用户来说可能很困难,因为不存在集中管理Firefox的内置方法。本文描述如何将Firefox配置为信任Windows证书存储区中的证书。这使得通过组策略进行证书管理从长远来看变得更加简单。

    本指南按“原样”提供,除下文概述的内容外,Umbrella不能直接支持本指南。

    使用Windows证书存储区

    自FF49起,已包含允许Firefox信任Windows证书存储区中的根证书颁发机构的新选项。  这意味着证书可以通过组策略按正常方式部署,并且Firefox信任Internet Explorer信任的相同根授权。  有关详细信息,请参阅此处:
    https://bugzilla.mozilla.org/show_bug.cgi?id=1265113

    遗憾的是,Mozilla已决定默认情况下不启用此功能,因此此方法仍需要一些其他配置。要启用此设置,security.enterprise_roots.enabled必须设置为true。  有关详细信息,请参阅此处:
    https://bugzilla.mozilla.org/show_bug.cgi?id=1314010

    要在单台计算机上启用此功能,请执行以下操作:

    • 在Firefox中,在地址栏中键入about:config
    • 如果出现提示,请接受任何警告
    • 右键单击以创建新的布尔值,然后输入security.enterprise_roots.enabled作为名称
    • 将该值设置为true

    要在多台计算机上启用此功能,您需要使用其他方法锁定Firefox中的首选项。其优势在于,一旦启用,您以后就可以使用组策略轻松管理证书。

    锁定Firefox首选项

    可以使用首选项文件配置security.enterprise_root.enabled设置。为此,请使用附加的文件:

    • umbrella.cfg文件必须放在Firefox目录的根目录中。例如:
      C:\Program Files\Mozilla Firefox\umbrella.cfg
    • local-settings.js文件必须放在\defaults\pref子目录中。例如:
      C:\Program Files\Mozilla Firefox\defaults\pref\local-settings.js

    local-settings.js的内容必须如下所示:

     pref("general.config.obscure_value", 0);  pref("general.config.filename", "umbrella.cfg");

    umbrella.cfg文件的内容必须如下所示:

     // lockPref("security.enterprise_roots.enabled", true);
    note-icon

    注意:如果手动创建文件,则必须采用ANSI编码。

    通过组策略分发Firefox首选项文件

    组策略可用于分发文件。

    note-icon

    注意:此过程要求将Firefox安装到客户端计算机上的默认位置。

    1. 将文件umbrella.cfglocal-settings.js添加到网络共享。确保共享具有“域计算机”的读取权限
    2. 在组策略管理中创建/编辑组策略
    3. 编辑计算机配置 > 首选项 > Windows设置 > 文件中的设置
    4. 右键单击并选择“新建文件”
    5. 将源文件指向网络共享上的umbrella.cfg
    6. 将“Destination”文件指向C:\Program Files\Mozilla Firefox\umbrella.cfgApply
    7. 重复这些步骤,将同一文件复制到C:\Program Files(x86)\Mozilla Firefox\umbrella.cfg
    8. 重复这些步骤,将local-settings.js复制到C:\Program Files\Mozilla Firefox\defaults\pref\local-settings.js
    9. 重复这些步骤,将local-settings.js复制到C:\Program Files(x86)\Mozilla Firefox\defaults\pref\local-settings.js

    使用Firefox安装程序分发Firefox首选项

    如果您正在执行脚本化Firefox安装,则也可以通过脚本将这些文件复制到安装过程中的正确位置。有关执行Firefox脚本安装的详细信息如下:
    https://wiki.mozilla.org/Installer:Command_Line_Arguments

    脚本安装需要Firefox的完整脱机安装程序。  此处提供以下信息:
    https://www.firefox.com/en-US/download/all/?redirect_source=mozilla-org

    (可选)使用CCK2分发Firefox设置

    CCK2是另一种创建锁定firefox配置的常用方法。CCK2是具有GUI的Firefox加载项,允许您设置许多不同的Firefox首选项:
    https://mike.kaply.com/cck2/

    CCK2会生成可提取到Firefox安装目录中的AutoConfig设置。
    或者,CCK2也可以将这些设置导出为Firefox扩展,以便分发给用户。

    修订历史记录

    版本 发布日期 备注
    1.0
    28-Aug-2025
    初始版本
    TAC Authored

    由思科工程师提供

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品