Доброго времени суток!
К описываемой проблеме, возможно, получится длинная предыстория для лучшего ее понимания, так что заранее извиняюсь за многобукаф.
Даны 20+ ноутбуков с установленной RedOS 7.2, внутри которой в качестве дефолтного браузера установлен Firefox версии 64.ххх (пардон, точнее не помню, подсмотреть в данный момент негде. Ноутбуки поставлены в ярославскую среднюю школу в рамках федеральной программы, лицензия на операционку для связи с техподдержкой имеется.
Школу, опять же централизованно, переводят на ЕСПД (Единую Систему Передачи Данных), в рамках которой унифицируется процедура выхода в инет по каналу Ростелекома, через их прокси и с обязательным использованием их же корневого сертификата, без которого на рабочих станциях все браузера звонят в колокола о невозможности установки защищенного соединения.
Когда дело перенастройки систем доходит до машин с РедОсом, выясняется, что нужный сертификат внутрь системы не запихнуть по какой-то известной проблеме совместимости, которая известна и поддержке ОСи, и провайдеру, но с которой решено ничего не делать.
Аргументация поддержки РедОСа: проблема конкретно с этим сертификатом, с остальными проблем не зафиксировано, обращайтесь в поддержку ЕСПД/Ростелекома (и действительно, тот же сертификат Минцифры для работы этих ваших Сбербанков не только успешно добавляется с систему, но и делает это в автоматическом режиме при установке нужного пакета из официального репозитория).
Поддержка ЕСПД/РТК: есть известная проблема несовместимости сертификата с системой РедОС, однако ни мы, ни они делать ничего не планируем, так как машин с такой системой мало в процентном соотношении, и вообще там установлен Файрфокс, который можно настроить вручную мимо настроек системы и все будет работать, отстаньте.
И вот тут перехожу к самому Firefox'у.
Версия 64что-то там, которая ставится "из коробки" вместе с системой: всё в ажуре, заходим в настройки браузера, прописываем прокси вручную, добавляем корневой сертификат в список уже установленных через кнопку "импортировать", он появляется в основном списке, повторная попытка импортирования возвращает "данный сертификат уже добавлен", интернет пашет, https фунцкионирует без сбоев.
Далее, черт дернул установить доступные обновления пакетов через репозиторий, в процессе конкретно Firefox обновляется до версии 102.8.0esr (64 бит, версия для RedOS и ГосЛинукс, описание взято из настроек программы).
После этого в настройках появляется плашка "часть настроек управляется администратором" (то есть явно активирован режим управления через файл политик policies.json), прокси при этом также свободно редактируется через настройки браузера, а вот с сертификатом - хоть головой об стол: кнопка "импортировать" на своем месте и активна, при попытке загрузить тот же самый файл сертификата никаких сообщений не вываливается, но и он не добавляется в список, со всеми вытекающими (каждый первый сайт выдает предупреждение о невозможности установки защищенного соединения из-за отсутствующего сертификата). "Импортировать" можно хоть в десять попыток, результат тот же - никаких сообщений, импорт не выполнен, сертификат не добавляется. Если он был добавлен в предыдущей версии браузера, после обновления тоже исчезает, и ранее работавший инет работать перестает.
Покурив описание файла политик, попробовал прописать его туда, результат аналогичный, то есть отрицательный.
Возможно, плохо покурил, или не так прописал, или не выполнил еще какую-то нужную именно в Линуксе операцию, чтобы применить изменения.
Расположение файла политик: /lib64/firefox/distribution/policies.json.
Редактирование открывал с правами суперпользователя.
Содержание раздела про сертификаты до какого-либо редактирования:

"Certificates": {
"ImportEnterpriseRoots": true,
"Install": [
"rootca_ssl_rsa2022.cer",
"/etc/pki/ca-trust/source/anchors/rootca_ssl_rsa2022.cer"
]
}

Это те самые сертификаты МинЦифры, которые устанавливаются в систему централизованно через репозиторий, но для работы браузера в школьной сети обязательно нужен сертификат Ростелекома, который непонятно как теперь добавить, браузер игнорирует мои поползновения.
Файл сертификата распространяется свободно через сайт техподдержки ЕСПД (https://espd.wifi.rt.ru/docs/ca-root.crt/), един для всех учреждений, и видимо не представляет никакой тайны, поэтому здесь содержимое выкладывать не буду, скачать-посмотреть можно по указанной ссылке.
Проблема именно в связке Firefox+RedOS, так как в Винде в любую, даже самую свежую версию браузера данный сертификат легко импортируется стандартными средства через Настройки-Сертификаты-Импортировать (проверял чтобы удостовериться, что файлик сертификата не битый/не крашеный).

В заключение, вопросы:
1. Почему браузер, обновленный в указанной в заголовке ОСи до указанной в заголовке версии, игнорирует попытки добавить нужный сертификат вручную через настройки, хотя клавиша "Импортировать" активна и никаких сообщений/предупреждений не вываливается, просто ничего не происходит.
2. Какие есть пути решения описанной ситуации
- редактировать файл политик (просьба подсказать правильный синтаксис)
- откатить/переустановить вручную какую-то из предыдущих версий Firefox для RedOS (просьба подкинуть ссылку на скачивание пакета).

Заранее спасибо за уделенное время и помощь!

Scout
А что пишется в на странице about:policies?

21-02-2023 10:41:33
Синтаксис описан на https://github.com/mozilla/policy-templ … s--install

21-02-2023 10:51:41
А RedOS до версии 7.3 не пытались обновлять?

Смогу проверить только завтра (22.02), после чего отпишусь. Если нетрудно, то сразу опишите вилку, "если написано... то... иначе ..."

Бегло просматривал, пробовал добавить в соответствующий раздел install строку вида

"/etc/pki/ca-trust/source/anchors/ca_root.crt",

Файлик при этом, конечно, разместил в указанном расположении, - ничего не изменилось. Отсутствие "обратной связи" затрудняет отладку. Попробовал нарочно файл политик запороть, убрав пару скобочек, опять же никаких ошибок, просто, как я понял, он стал игнорироваться, т.к. в настройках Огнелиса исчезла плашка вида "Часть настроек управляется вашей организацией". Тоже, в принципе, вариант, но боюсь после очередного обновления вернется на круги своя, хочется каким-то более гуманным путем пойти.
И еще вопрос - если корневой сертификат добавлен через файл политик, в соответствующем разделе настроек браузера он должен отображаться среди других сертификатов? Чтобы хоть как-то судить о наличии/отсутствии результата правки конфига.
Если дело в policies.json, значит буду с ним ковыряться, попробую файл сертификата в другой каталог поместить, и еще выгружу из рабочей Виндовой версии браузера этот же сертификат в другом расширении, может его "скушает".

21-02-2023 11:02:14

Не успел. Энное число времени безуспешно пытался сертификат в саму систему запихнуть, пока не выяснилось, что зря старался (в инструкции на портале ЕСПД об этом тактично умолчали), а когда непосредственно до Firefox добрался, предварительно выяснив, что проблем появляется после обновления пакета, скоро уж на мороз погнали.
Вот сейчас собираю версии, куда дальше ковырять, чтобы завтра, так сказать, с новыми силами, а не в бездну смотреть.
Ноутбуков таких по школам страны прилично наставили, поэтому на форум обратился больше в расчете, что кто-то кроме меня уже сталкивался/занимался подобной проблемой, или "ребята сталкивались, а я рядом стоял".
В остальном, понятное дело, RTFM + последовательное исключение неизвестных.
Спасибо за советы! Если будут еще мысли - только рад.
Когда победю, отпишусь, какая последовательность действий помогла, т.к. поиск по форуму не нашел описания похожей ситуации.

Scout

https://support.mozilla.org/en-US/kb/de … icy-issues

21-02-2023 11:50:24

Просто сертификат Ростелекома сгенерирован по очень уж передовому алгоритму, так что возможно поможет обновление RedOS.

Обновление оказалось процессом медитативным даже по версии производителя - десяток команд "выполните в терминале", которые по большей части удалось распихать в два скрипта.
Итог - система новая, проблема старая. На самой первой машине сложилось ощущение, что обновление помогло, но ощущение на проверку оказалось ошибочным.
Что железно помогало, так это откат через репозиторий версии Firefox с 102.х.х до предыдущей доступной 91.11.0, при этом понижалась версия основного пакета и помечался на удаление пакет "fdk-aac-free-2.0.0-1.el7.x86_64", после чего версия в настройках браузера менялась на "91.11.0esr(64 бита)" и сертификат импортировался, несмотря на висящее предупреждение "Ваш браузер управляется вашей организацией" (т.е. присутствовал файл политик).
Эмпирическим путем, примерно на третьей по счету машине, было замечено, что вышеуказанный откат версии Файрфокса при первом запуске выдавал сообщение "You've launched an older version of Firefox" с призывом "Create new profile".
На следующем компе попробовал без отката версии зайти в раздел "about:profiles" и стандартными средствами создать новый профиль по умолчанию и - о, чудо, - сертификат импортнулся даже в версию браузера 102.8, всё заработало.
Итог: бага (а может, фича) была не в версии RedOS, а в дефолтном профиле Файрфокса, который настройки прокси в себя сохранял, а вот сертификат сторонний импортировать отказывался наотрез. Вылечено созданием нового "Профиля по умолчанию" при помощи мастера из "about:profiles" и повторной настройкой прокси+сертификата.
В другом кабинете попробую сразу с конца, не обновляя систему до версии 7.3. Думаю, будет успешно.
Спасибо за советы!
Под занавес два скриншота (точнее, фотки экрана на телефон) окна "about:profiles" после добавления нового профиля. Вверху - тот, который был изначально, с неимпортируемым сертификатом.
https://drive.google.com/file/d/1kl-vHo … sp=sharing
https://drive.google.com/file/d/1kjVqe_ … sp=sharing
Надеюсь, кому-то кроме меня пригодится. Тему можно закрывать