Firefox国密证书导入：证书管理器中的国密根证书添加步骤

Firefox  证书管理器中导入国密根证书的详细步骤

前提准备：获取国密根证书文件

在执行导入操作前，首先需要获取国密根证书文件。根证书通常有以下几种获取途径：

从国密CA机构官网下载：可前往CFCA、GDCA等权威国密证书颁发机构的官方网站，下载其提供的SM2根证书文件，这些文件通常为  `.crt`  或  `.pem`  格式。

从证书颁发机构系统获取：如果你所在的组织使用内部私有CA颁发的国密证书，可联系系统或安全管理员获取对应的根证书文件。

通过证书管理器手动导入（适用所有平台）

打开  Firefox  浏览器，按照以下步骤完成证书导入：

Step  1：打开证书管理器

方法一（推荐）：点击浏览器右上角的“三横杠”菜单图标  →  选择“选项”或“设置”（macOS  用户为“偏好设置”）→  在左侧或页面中找到“隐私与安全”选项卡  →  向下滚动至“证书”区域  →  点击“查看证书”或“管理证书”按钮。

方法二（快捷入口）：直接在  Firefox  地址栏输入  `about:preferences#privacy`  并按回车，同样可快速定位至隐私设置页面，再找到“证书”区点击“查看证书”。

Step  2：选择正确的证书管理选项卡

在弹出的“证书管理器”窗口中，找到并选择  “证书机构”（Authorities）选项卡——导入根证书时务必进入此选项卡，而非“个人”或“服务器”选项卡。

Step  3：导入国密根证书文件

点击证书管理器窗口中的  “导入…” 按钮。

-在弹出的文件选择窗口中，找到并选中之前下载或准备好的国密根证书文件（支持  `.crt`、`.pem`、`.der`  等格式），点击“打开”。

系统可能会弹出一个对话框，询问是否信任此证书。在信任设置选项中：

勾选“信任此CA标识网站”（Trust  this  CA  to  identify  websites），这是导入根证书的关键设置。

其他选项（如“信任此CA标识电子邮件用户”）可根据实际需求勾选。

点击“确定”完成导入。

Step  4：验证导入结果

在“证书机构”选项卡列表中，按颁发者名称或证书名称排序，确认国密根证书已出现在列表中，并且信任复选框已被勾选。

关闭证书管理器。

重新启动  Firefox  浏览器（部分版本可能需要重启才能完全生效）。

访问对应的国密HTTPS网站，检查地址栏是否显示绿色锁图标且无安全警告，以确认根证书信任已生效。

备选方法：利用操作系统证书库（Windows/macOS推荐）

Firefox  支持自动使用操作系统证书库中已安装的根证书，无需在浏览器中单独导入。

操作步骤：

1.  在地址栏输入  `about:config`，按回车，如有警告页面请确认继续。

2.  在搜索框中输入  `security.enterprise_roots.enabled`。

3.  找到该首选项后，点击右侧的“切换”按钮（或双击该条目），将其值从  `false`  改为  `true`。

4.  重启  Firefox  浏览器。

适用场景：如果你的国密根证书已经通过  Windows  证书管理器或  macOS  钥匙串访问手动添加到操作系统级别，将  `security.enterprise_roots.enabled`  设为  `true`  后，Firefox  便会自动信任这些系统级根证书。此方法尤其适合需要同时为多个浏览器（如  Chrome、Edge、Firefox）统一导入国密根证书的场景。

特别提示：国密算法的浏览器兼容性

需要了解的是，主流的国际版本  Firefox  默认并不内嵌对国密算法（SM2/SM3/SM4）的完整支持，也不预置国密根证书。即便成功导入了国密根证书，Firefox  可能仍无法完成国密  TLS  握手，因为它原生不支持国密密码套件。

因此，如果你需要长期稳定地访问国密HTTPS网站，以下两种方案值得考虑：

使用国产浏览器：如  360  安全浏览器、红莲花浏览器等，这些浏览器原生内置了国密算法支持和国密根证书库，开箱即用。

使用带国密扩展的  Firefox  定制版：部分组织会编译内置国密算法支持的专用版  Firefox  分发使用。