我们知道Firefox是自有的一套证书密钥管理系统,和Windows证书管理工具一样,可以导入和导出证书,比如我们的代码签名证书签发时需要使用Firefox进行证书安装,安装好的证书就在Firefox的证书容器中,本文介绍如何使用Firefox进行证书导入和导出管理。
我们知道Firefox是自有的一套证书密钥管理系统,和Windows证书管理工具一样,可以导入和导出证书,比如我们的代码签名证书签发时需要使用Firefox进行证书安装,安装好的证书就在Firefox的证书容器中,本文介绍如何使用Firefox进行证书导入和导出管理。
⚠️ 自2021年6月起,CA提供代码签名、数字签名证书订购过程需要使用IE进行证书配置、提取
Firefox证书管理器
打开Firefox,在右上角点击三横的配置图标,并点击“选项”,也可以在Firefox的地址栏输入 “about:preferences#privacy” 并回车,此时点击“隐私与安全”选项卡,并拉到页面底部可以到“证书”类目,点击“查看证书”即可进入证书管理。
打开之后我们看到有5个选项卡“您的证书”、“个人”、“服务器”、“证书机构”、“其他”等多个选项卡,“证书机构”则是CA权威机构内置在Firefox中的受信任的根证书。
点击“证书机构”选项卡,下图我们可以发现,此时的StartCom根机构早已不在Firefox的根证书信任列表中了,infiniSign合作CA均在Firefox根证书列表中。
同样,Firefox也可以用来存储比较重要的证书,导入证书只需点击“导入”即可,导出“个人、证书机构”的证书,通常是不含私钥的证书,点击“导出”即可,而对于含有私钥的“个人信息交换密钥证书” PKCS #12(.pfx, .p12),则是点击“备份”,例如我们签发的代码签名证书就需要这样操作,如下内容
代码签名证书导出
经infiniSign申请的代码签名证书在安装证书后,如下图,都会在“您的证书”选项中出现,此时我们只要选中该证书,点击“备份”即可导出p12/pfx格式的证书。
和Windows导出pfx证书一样,选择导出文件夹后(p12等同于pfx),需要输入“备份密码”,输入一个高强度的备份密码并牢记,这样就完成了代码签名证书的提取。
这个密码等同于IIS/Windows中导出pfx证书时的备份密码,总之对于含有私钥的“个人信息交换密钥证书” PKCS #12(.pfx, .p12)的备份密码都是一个概念。
如果使用代码签名应用程序进行签名,需将p12后缀名修改为pfx后缀名,使用Windows官方SignTool则不用,详情参考:EV代码签名证书签名Windows软件
*注意:目前Firefox导出的p12/pfx证书在Windows10操作系统中导入证书库中会提示密码错误
目前已知是Firefox 57后的全新版本(Firefox Quantum发布让SSL普及更进一步)证书密钥机制变化导致不兼容Windows 10,目前的解决方案参考:Firefox导出PFX证书在Win10导入提示密码错误