vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат
Порой кажется, что то, что знаешь ты, знают все. Но это не совсем так. В частности по этой теме. И хоть ситуация развивается уже продолжительное время, вопросы порой остаются. И проще дать ссылку на статью, чем объяснять разным людям разной степени подготовленности.
Как известно, некоторые российские госкомпании сейчас под санкциями, в том числе эмитентами сертификатов. Сбер уже перешёл на сертификаты от Минцифры. Ростелеком, вероятно, к ноябрю 2024 года тоже перейдёт. А CA Минцифры соответственно рукопожат только браузерами Яндекс Браузер и Atom.
У этой проблемы есть несколько решений.
Первый и третий способы похожи, но не равны. CA Минцифры будет доверенным для всех профилей Яндекс Браузера. Если вы считаете это неприемлемым или не доверяете самому Яндекс Браузеру, то прежде чем продолжить, напишите, пожалуйста, свои фамилию, имя, отчество, адрес проживания фактический и по месту регистрации. С вами позже свяжутся. В Chrome, к сожалению, используются хранилище сертификатов операционной системы. Соответственно в Chromium браузерах (Opera, Vivaldi, Edge) тоже. Но не таков Firefox. У него собственный движок и собственное хранилище сертификатов, основанное на Mozilla Network Security Services (NSS).
и нажать кнопку "Создать новый профиль". Поскольку название и путь к нему в дальнейшем понадобятся, рекомендую задать их вручную. Иначе Firefox сгенерирует автоматически. Например, Sber как название и как папка. Для создания новой папки в открывшемся окне Проводника нужно кликнуть правой кнопкой мыши в любом месте и выбрать пункт меню "Создать".
Сразу же создайте ярлык для нового профиля, скопировав из основного ярлыка. Если с рабочего стола ярлык был удалён, то в кнопке Пуск есть его копия. В свойствах ярлыка добавьте -P Sber. То есть в поле Объект должно быть:
Понимаю, как усмехаются любители portable сборки, но это надо изложить, уж поверьте.
) нажать кнопку "Просмотр сертификатов", где и импортировать файл sberbank-ru-chain.pem, находящийся в папке Загрузки. В Chrome и браузерах, основанных на нём, скачать сертификат можно из восклицательного значка предупреждения в адресной строке. Всё готово, дальше можно не читать.
Дополнительно потребуются библиотеки DLL, которые тоже перестали собирать с версии 4.6.5
Путь чуть проще — скачать certutil в составе пакета mar-tools браузера Tor. Возможно, там и версия более новая.
Кстати, сам браузер Tor основан на Firefox и у него тоже есть профили со своими хранилищами.
Надеюсь, сертификат уже скачан браузером и просто находится в папке Загрузки. Если нет и всё сложно или используется какая-то автоматизация для множества профилей, то странно, что вы дочитали досюда. У вас наверняка уже давно всё настроено. В любом случае потребуется . Этот микроскоп пригодится как для самостоятельной загрузки нужного гвоздя.
Так и для преобразования корневого DER сертификата Минцифры, скачанного с помощью curl, в PEM формат.
Если кто-то знает публичную ссылку на PEM версию, прошу сообщить. Тогда можно будет обойтись без OpenSSL.
Заметьте, что openssl скачал не цепочку, а только конечный сертификат. Для каких-то целей это удобней, для каких-то наоборот.
Certutil загружен, обложен DLL модулями, файл сертификата находится в папке Загрузки под именем sberbank-ru.pem, профиль Firefox в порядке. Значит можно:
Срабатывает как добавление в хранилище корневого сертификата Минцифры, так и одиночного сертификата конечного сайта. Но в последнем случае нужно быть внимательней с субдоменами.
Как известно, некоторые российские госкомпании сейчас под санкциями, в том числе эмитентами сертификатов. Сбер уже перешёл на сертификаты от Минцифры. Ростелеком, вероятно, к ноябрю 2024 года тоже перейдёт. А CA Минцифры соответственно рукопожат только браузерами Яндекс Браузер и Atom.
У этой проблемы есть несколько решений.
- Использовать Яндекс Браузер или Atom с уже установленными сертификатами Минцифры и горя не знать.
- Сохранить корневой сертификат Минцифры в доверенные для всей операционной системы (и всех браузеров), если вам совсем нечего скрывать.
- Использовать браузер Firefox с выделенным пользовательским профилем под Рунет.
- Использовать виртуальное окружение для любимого браузера с нелюбимым сертификатом Минцифры. (не могу найти ту публикацию).
- Запускать браузер .
Первый и третий способы похожи, но не равны. CA Минцифры будет доверенным для всех профилей Яндекс Браузера. Если вы считаете это неприемлемым или не доверяете самому Яндекс Браузеру, то прежде чем продолжить, напишите, пожалуйста, свои фамилию, имя, отчество, адрес проживания фактический и по месту регистрации. С вами позже свяжутся. В Chrome, к сожалению, используются хранилище сертификатов операционной системы. Соответственно в Chromium браузерах (Opera, Vivaldi, Edge) тоже. Но не таков Firefox. У него собственный движок и собственное хранилище сертификатов, основанное на Mozilla Network Security Services (NSS).
Создание профиля
Чтобы создать новый профиль в Firefox, нужно открыть в адресной строке страницу
Код:
about:profilesСразу же создайте ярлык для нового профиля, скопировав из основного ярлыка. Если с рабочего стола ярлык был удалён, то в кнопке Пуск есть его копия. В свойствах ярлыка добавьте -P Sber. То есть в поле Объект должно быть:
Понимаю, как усмехаются любители portable сборки, но это надо изложить, уж поверьте.
Установка сертификата
Запустите Firefox с нового ярлыка и откройте страницу . Сам браузер не даёт перейти на недоверенный сайт. Поэтому в окне ошибки нужно нажать на "Просмотреть сертификат" и найти там "Загрузить PEM (цепочка сертификатов)". Далее открыть настройки Firefox и в разделе Приватность и защита (
Код:
about:preferences#privacyУстановка сертификата из командной строки
Для управления хранилищем сертификатов Firefox потребуется программа certutil, только не та, что встроена в Windows, а из пакета Mozilla NSS. К сожалению, с версии 3.12.5 разработчики перестали выкладывать исполняемые файлы. Но версия 3.12.4 вполне справляется с новым форматом хранилища Firefox (cert9.db/key4.db).Дополнительно потребуются библиотеки DLL, которые тоже перестали собирать с версии 4.6.5
Путь чуть проще — скачать certutil в составе пакета mar-tools браузера Tor. Возможно, там и версия более новая.
Кстати, сам браузер Tor основан на Firefox и у него тоже есть профили со своими хранилищами.
Надеюсь, сертификат уже скачан браузером и просто находится в папке Загрузки. Если нет и всё сложно или используется какая-то автоматизация для множества профилей, то странно, что вы дочитали досюда. У вас наверняка уже давно всё настроено. В любом случае потребуется . Этот микроскоп пригодится как для самостоятельной загрузки нужного гвоздя.
Код:
openssl s_client -showcerts -connect www.sberbank.ru:443 <NUL 2> NUL | openssl x509 -outform PEM > %HOMEPATH%\Downloads\sberbank-ru.pemТак и для преобразования корневого DER сертификата Минцифры, скачанного с помощью curl, в PEM формат.
Код:
curl http://reestr-pki.ru/cdp/rootca_ssl_rsa2022.crt -o rootca_ssl_rsa2022.der
openssl x509 -inform der -in rootca_ssl_rsa2022.der -out rootca_ssl_rsa2022.pemЕсли кто-то знает публичную ссылку на PEM версию, прошу сообщить. Тогда можно будет обойтись без OpenSSL.
Заметьте, что openssl скачал не цепочку, а только конечный сертификат. Для каких-то целей это удобней, для каких-то наоборот.
Certutil загружен, обложен DLL модулями, файл сертификата находится в папке Загрузки под именем sberbank-ru.pem, профиль Firefox в порядке. Значит можно:
Код:
certutil.exe -A -t TCu,, -n Sber -i %HOMEPATH%\Downloads\sberbank-ru.pem -d %APPDATA%\Mozilla\Firefox\Profiles\SberСрабатывает как добавление в хранилище корневого сертификата Минцифры, так и одиночного сертификата конечного сайта. Но в последнем случае нужно быть внимательней с субдоменами.
