Установка корневого сертификата ДонФТИ в Mozilla Firefox

SSL сертификаты используются для шифрования данных и проверки подлинности сайтов. Структура отношений доверия в стандарте x509 является иерархической (лес из деревьев), контролируемой из некоторого центра. Причём, центр этот для нас враждебный, поскольку сертификаты сайтов нашей Республики, выпущенные в рамках основного леса доверия, регулярно этим центром аннулируются. Поэтому мы сделали свой собственный корневой сертификат ДонФТИ, которым и удостоверяется подлинность всех наших сетевых сервисов.

Однако, программы доступа к сети Интернет по умолчанию не доверяют нашему сертификату. При его использовании возникают предупреждения (якобы о ненадёжности/незащищённости соединения с нашими серверами), которые иногда можно (путём явного разрешения «продолжить» такое соединение), а иногда и нельзя обойти. Чтобы избежать этих предупреждений и сделать проверку подлинности наших сетевых сервисов прозрачной, удобно установить наш корневой сертификат в качестве доверенного корневого центра сертификации. В браузере Mozilla Firefox это можно сделать выполнив следующие шаги:

  1. Скачайте сам сертификат отсюда и сохраните его на диске (например, в папке «Загрузки» или на Рабочем столе). Сертификат представляет собой простой текстовый файл с расширением «.pem».
  2. Войдите в «Настройки» нажав на три горизонтальных полоски справа в верху и выбрав «Настройки» в выпавшем меню.
  3. Выберите вкладку «Приватность и Защита» (с иконкой в виде замка) в вертикальной панели слева.
  4. Пролистайте открывшуюся вкладку до конца и в разделе «Сертификаты» нажмите на кнопку «Просмотр сертификатов».
  5. В открывшемся окне «Управление сертификатами» откройте вкладку «Центры сертификации».
  6. Нажмите на кнопку «Импортировать» и в открывшемся диалоговом окне выберите скачанный Вами ранее файл сертификата DonFTI.pem.
  7. [необязательно, но желательно] В появившемся диалоговом окне «Загрузка сертификата» нажмите на кнопку «Просмотреть» и убедитесь, что отпечатки SHA2 и/или SHA1 сертификата следующие
    SHA2: B7:47:4B:66:1C:72:B6:77:65:0F:12:2E:97:4B:96:93:
                DB:C1:37:19:D5:BC:F8:49:E6:78:AF:6C:A7:D3:E1:B3
    SHA1: 89:C1:C0:CD:3F:A1:E8:2C:E2:80:20:76:4B:EC:FA:B5:D3:D3:93:63
    Если они другие — прекатите установку. Это значит, что сертификат, который Вы устанавливаете не является подлинным.
  8. Подтвердите (поставив галочку), что «Этот сертификат может служить для идентификации веб сайтов» и нажмите «OK».

Всё, сертификат установлен. Его можно найти во вкладке «Центры сертификации» окна «Управление сертификатами» под именем «Donetsk Institute for Physics and Technology» / config.donfti.ru . Теперь при доступе к сайту ДонФТИ в адресной строке браузера будет отображаться зелёный щит, что говорит об успешной проверке подлинности сайта и о том, что соединение с ним шифруется. Такое защищённое соединение необходимо для доступа к электронной почте ДонФТИ, системе онлайн конференций и другим нашим сетевым сервисам.