火狐浏览器SSL根证书的完整导出指南

当你需要将火狐浏览器内置的所有SSL根证书一次性打包时，可能会遇到一个“门槛”：火狐并未提供一键全选导出的功能。

这通常发生在需要进行安全审计、环境迁移或跨平台部署的场景下。任务并非无法完成，只是需要一些特定的方法。下面将详细拆解几种实现路径。

一、批量导出选定证书为PEM格式

如果你只需要导出部分主流或特定机构的根证书，这个方法最为直观可控。其核心思路是：手动勾选，逐个导出，最终得到通用性极佳的PEM格式文件。

操作步骤如下：

1. 打开火狐浏览器，点击右上角菜单图标，进入“设置”。
2. 在左侧导航栏点击“隐私与安全”，向下滚动至“证书”板块，点击“查看证书…”按钮。
3. 在弹出的证书管理器窗口中，切换到“证书机构”标签页。
4. 按住键盘上的Ctrl键（Windows/Linux）或Command键（macOS），用鼠标逐个点击希望导出的证书名称。
5. 选中证书后，为每一个被高亮显示的证书单独点击右侧的“备份…”按钮。

保存时请注意：

• 将格式设置为“PEM 格式(.crt)”。
• 建议在文件名中加入颁发者简写，便于日后管理。
• 务必勾选“包含所有证书(如果可用)”选项。

二、使用配置目录提取内置证书数据库文件

火狐浏览器将所有内置的根证书固化在一个名为cert9.db的SQLite数据库文件中。直接操作此文件，特别适合需要编写自动化脚本或在离线环境下处理的情况。

操作前准备：请确保完全关闭火狐浏览器，包括后台进程。

第一步：找到目标文件

• Windows：通常位于 C:Program FilesMozilla Firefox
• macOS：通常位于 /Applications/Firefox.app/Contents/Resources/
• Linux：通常在 /usr/lib/firefox/ 或 /opt/firefox/ 下

目标文件即为cert9.db，其内部以DER编码格式存储所有证书数据。

第二步：使用certutil工具导出

需要借助火狐自带的命令行工具certutil进行读取和导出。

1. 使用命令 certutil -L -d sql:. -f pwdfile.txt > certs_list.txt 列出库中所有证书条目，生成清单。
2. 针对清单中的每一个证书名称，使用命令 certutil -L -d sql:. -n “证书名称” -r > cert_name.der，将其单独导出为DER格式文件。

三、通过NSS工具链导出全部证书为PEM集合文件

如果你想获得一个包含所有受信任根证书的单一PEM文件，利用火狐底层依赖的NSS（Network Security Services）工具集是最佳选择。此方法能将整个证书库“打包”输出。

操作步骤如下：

1. 下载安装：下载并安装与当前火狐版本匹配的NSS Tools。
2. 打开终端：打开终端或命令提示符，进入火狐的安装目录。
3. 创建工作目录：执行命令 mkdir exported_certs && cd exported_certs。

后续执行连贯命令：

1. 初始化一个临时的空NSS数据库：
   • Linux/macOS：certutil -N -d sql:. -f /dev/null
   • Windows：certutil -N -d sql:. -f NUL
2. 导入火狐内置证书库：pk12util -i ../cert9.db -d sql:. -W “”（注意，此处密码为空）。
3. 执行管道命令导出所有证书：certutil -L -d sql:. -r | awk ‘/^—–BEGIN CERTIFICATE—–$/,/^—–END CERTIFICATE—–$/’ > all_firefox_roots.pem。

执行完毕后，当前目录下会生成名为all_firefox_roots.pem的文件，其中整齐排列着所有根证书的PEM编码内容。

《夸克》非常好用的免费AI浏览器

下载APP查看