#language cs ## 20210714 AK ---- '''česky''' | [[HowToDocuments/iOSCertificateImport/DE|deutsch]] | [[HowToDocuments/iOSCertificateImport|english]] | [[HowToDocuments/iOSCertificateImport/FR|français]] | --- [[HowToDocuments|další návody typu krok za krokem]] ---- /!\ Starší verze iOS než 11 a 12 - viz [[HowToDocuments/iOSCertificateImport/old/CZ]] /!\ ## Zastaralý článek pro iOS verze < 11 odstraněn 2018-11-05 ## Nový text přeložen z anglické verze s přihlédnutím k francouzskému originálu (c) Frédéric Dumas - AK ## Promítnuty změny ohledně nových kořenových certifikátů {{{#!wiki note Rozpracováno. <
> Obsah (anglický) bude ještě přepsán do lepší angličtiny; je přeložen z [[HowToDocuments/iOSCertificateImport/FR|francouzského návodu]] }}} <> = Import a aktivace kořenových certifikátů CAcert v iOS = Tento návod popisuje, jak '''importovat''' kořenové certifikáty CAcert do mobilního zařízení s operačním systémem '''iOS (verzí 11 a 12)''', aby byla certifikační autorita CAcert takovým zařízením rozeznána jako '''důvěryhodná (trusted)'''. Takže jak operační systém, tak instalované aplikace '''přijmou (accept)''' všechny klientské a serverové certifikáty '''podepsané (signed)''' CA CAcert, jejím jedním nebo druhým kořenovým certifikátem. Jak už asi víte, CAcert zveřejňuje ''dva'' kořenové certifikáty: ||1|| '''Root CA''' SHA256 ||<)> hlavní kořenový certifikát třídy 1, podepsaný sám sebou algoritmem SHA256 || pořadové číslo (serial #) = 00000F || ||2|| '''Class 3 Root''' SHA256 ||<)> zprostředkující kořenový certifikát třídy 3, podepsaný Root CA algoritmem SHA256 || pořadové číslo (serial #) = 00000E || Protože certifikát ''třídy 3'' je podepsán certifikátem ''třídy 1'', zjistí-li iOS Vaši důvěru k certifikátu třídy 1, bude automaticky důvěřovat také certifikátu třídy 3. Musíte tedy výslovně důvěřovat pouze certifikátu třídy 1, který neodvozuje svoji důvěryhodnost od žádného jiného certifikátu (neboť je podepsán sám sebou). Je ovšem zapotřebí do mobilního zařízení manuálně importovat oba kořenové certifikáty. == iOS - Import a aktivace == Operační systém firmy Apple má svou vlastní logiku - potřebuje rozlišit dva stavy: * '''První krok - import''' certifikátů do zařízení: jejich stažení, pak instalace obou certifikátů; na konci tohoto kroku jsou certifikáty dostupné a '''ověřené''', ale nejsou ještě '''použitelné'''. * '''Druhý krok - aktivace''' kořenový certifikát třídy 1, který už je na zařízení ověřen, musí být explicitně '''označen''' jako "'''zcela důvěryhodný'''"; na konci tohoto kroku budou operační systém a aplikace schopné ho používat a automaticky rozšíří tuto důvěru na zprostředkující certifikát třídy 3. Uživatel provede tyto dva kroky pomocí různých oken nastavení operačního systému a parametrů svého zařízení. === Import certifikátů === Pro import kořenových certifikátů CAcert třídy 1 a 3 jděte prostě na web CAcertu pomocí internetového připojení Vašeho zařízení: * spusťte webový prohlížeč '''Safari''' na Vašem iPhonu nebo iPadu; * zobrazte si webovou stránku http://www.cacert.org/index.php?id=3, z níž si stáhnete certifikáty nazvané '''Kořenový certifikát (formát PEM)''' a '''Zprostředkující certifikát (formát PEM)''': || '''Root CA''' SHA256 ||<)> [[http://www.cacert.org/index.php?id=3|Zvolte kořenový certifikát / klíč třídy 1 ve tvaru PEM]] || [[http://www.cacert.org/certs/root_X0F.crt|Přímé stažení]] || || '''Class 3 Root''' SHA256 ||<)> [[http://www.cacert.org/index.php?id=3|Zvolte zprostředkující certifikát / klíč třídy 3 ve tvaru PEM]] || [[http://www.cacert.org/certs/class3_x14E228.crt|Přímé stažení]] || * z okna prohlížeče '''Safari''' klikněte '''odkaz (hyperlink)''' [[http://www.cacert.org/index.php?id=3|nabízející stažení]]; * jako odpověď na otázky systému iOS, '''souhlaste (agree)''' s instalací každého certifikátu - systematicky volte odpovědi vedoucí k další obrazovce. ==== Jako první importujte například certifikát '''Class 3 Root''' ==== ||<:>{{attachment:iOS_Step#1a-1_small.png}}||<:>{{attachment:iOS_Step#1a-2_small.png}}||<:>{{attachment:iOS_Step#1a-4_small.png}}||<:>{{attachment:iOS_Step#1a-5_small.png}}|| ||<:>'''Klikněte na<
>''Install'''''||<:>'''Zadejte kód PIN<
>zařízení'''||<:>'''Klikněte znovu na<
>''Install'''''||<:>'''Certifikát ''Class 3 Root'' je instalován,<
>ale ještě není ''ověřen'''''|| Pozor: iOS zatím nepřiřadí stav "ověřen" zprostředkujícímu kořenovému certifikátu '''Class 3 Root''', dokud není hlavní kořenový certifikát '''Root CA''' také importován. ==== Opakujte tutéž proceduru, nyní pro import certifikátu '''CA Root''' ==== ||<:>{{attachment:iOS_Step#1b-1_small.png}}||<:>{{attachment:iOS_Step#1b-2_small.png}}||<:>{{attachment:iOS_Step#1b-4_small.png}}||<:>{{attachment:iOS_Step#1b-5_small.png}}|| ||<:>'''Klikněte na<
>''Install'''''||<:>'''Zadejte kód PIN<
>zařízení'''||<:>'''Klikněte znovu na<
>''Install'''''||<:>'''Certifikát ''Root CA'' je instalován<
>a také ''ověřen'''''|| Seznam '''už instalovaných''' certifikátů můžete vidět kdykoli návratem do ovládacího panelu: '''Settings''' -> '''General''' -> '''Profiles'''. ||<:>{{attachment:iOS_Step#1c-1_small.png}}||<:>{{attachment:iOS_Step#1c-2_small.png}}||<:>{{attachment:iOS_Step#1c-3_small.png}}|| ||<:>'''Konfigurační panel ''Profiles''<
>ukáže instalované certifikáty'''||<:>'''Certifikát ''Class 3 Root''<
>má stav ''ověřen'''''||<:>'''Certifikát ''Root CA''<
>má stav ''ověřen'''''|| Certifikát '''Class 3 Root''' dostane stav ''ověřen'' automaticky od chvíle, kdy jste importovali i certifikát '''Root CA'''. Na pořadí importu kořenových certifikátů nezáleží. Zde jsme napřed instalovali '''Class 3 Root''' a pak ''Root CA'', ovšem logičtější opačný postup je také možný. === Aktivujte kořenový certifikát třídy 1 === V dalším kroku učiňte certifikát použitelným pro operační systém a aplikace - označte systému iOS, že '''důvěřujete''' certifikátu '''Root CA''' třídy 1. K tomu: * otevřete ovládací panel: '''Settings ->''' '''General''' -> '''About''' -> '''Certificate Trust Settings''' * název kořenového certifikátu CA, který jste právě importovali '''se zde objeví'''; důvěra ke zprostředkujícímu certifikátu třídy 3 se vytvoří samočinně, neboť důvěřujete hlavnímu kořenovému certifikátu třídy 1. Ovládací panel však neukáže název certifikátu třídy 3; * přepněte přepínač do '''zelené polohy''', abyste systému iOS potvrdili svoji '''plnou důvěru''' kořenovému certifikátu CAcert. ||<:>{{attachment:iOS_Step#2-1_small.png}}||<:>{{attachment:iOS_Step#2-2_small.png}}||<:>{{attachment:iOS_Step#2-3_small.png}}|| ||<:>'''Přístup k ovládacímu panelu<
>''Certificate Trust Settings'''''||<:>'''Potvrďte důvěru k certifikátu<
>přes vážné varování'''||<:>'''Procedura dokončena<
>úspěšně!'''|| Od této chvíle je CAcert CA uznávána Vaším mobilním zařízením se stejnou důvěryhodností jako kterákoli jiná CA, jejíž certifikáty jsou v iOSu předinstalovány. == Řešení problémů == Jestliže ovládací panel ''Certificate Trust Settings'' v nastaveních zařízení neukáže název kořenového certifikátu CAcert, zkontrolujte, že certifikát právě importovaný v předchozím kroku je opravdu '''"Root CA" SHA256 (# 00000F)''' a ne ''"Root CA" MD-5 (# 000000)'', který je nyní zastaralý. I když jsou oba stejné, iOS a jiné operační systémy nynějších verzí nedovolují uživateli důvěřovat hlavnímu kořenovému certifikátu CAcert, když je podepsán algoritmem MD5. Je-li omylem importován hlavní kořenový certifikát CAcertu ''"Root CA" MD-5 (# 000000)'', smažte ho v ovládacím panelu: '''Settings''' -> '''General''' -> '''Profiles''' a opakujte postup stažení, instalace a nastavení důvěry témuž certifikátu, avšak tentokrát pečlivě zvolte '''"Root CA" SHA256 (# 00000F)'''. == Relevantní verze iOS == Tento návod byl napsán pro '''iOS''' verze '''11''' a '''12'''. ---- . CategoryTutorials . CategoryStepByStep