česky | deutsch | english | français | --- další návody typu krok za krokem
![/!\](/moin_static199/cacert/img/alert.png "/!\"){kind=small}
Starší verze iOS než 11 a 12 - viz HowToDocuments/iOSCertificateImport/old/CZ
Rozpracováno.
Obsah (anglický) bude ještě přepsán do lepší angličtiny; je přeložen z francouzského návodu
Import a aktivace kořenových certifikátů CAcert v iOS
Tento návod popisuje, jak importovat kořenové certifikáty CAcert do mobilního zařízení s operačním systémem iOS (verzí 11 a 12), aby byla certifikační autorita CAcert takovým zařízením rozeznána jako důvěryhodná (trusted). Takže jak operační systém, tak instalované aplikace přijmou (accept) všechny klientské a serverové certifikáty podepsané (signed) CA CAcert, jejím jedním nebo druhým kořenovým certifikátem.
Jak už asi víte, CAcert zveřejňuje dva kořenové certifikáty:
1 |
Root CA SHA256 |
hlavní kořenový certifikát třídy 1, podepsaný sám sebou algoritmem SHA256 |
pořadové číslo (serial #) = 00000F |
2 |
Class 3 Root SHA256 |
zprostředkující kořenový certifikát třídy 3, podepsaný Root CA algoritmem SHA256 |
pořadové číslo (serial #) = 00000E |
Protože certifikát třídy 3 je podepsán certifikátem třídy 1, zjistí-li iOS Vaši důvěru k certifikátu třídy 1, bude automaticky důvěřovat také certifikátu třídy 3. Musíte tedy výslovně důvěřovat pouze certifikátu třídy 1, který neodvozuje svoji důvěryhodnost od žádného jiného certifikátu (neboť je podepsán sám sebou).
Je ovšem zapotřebí do mobilního zařízení manuálně importovat oba kořenové certifikáty.
iOS - Import a aktivace
Operační systém firmy Apple má svou vlastní logiku - potřebuje rozlišit dva stavy:
První krok - import certifikátů do zařízení: jejich stažení, pak instalace obou certifikátů; na konci tohoto kroku jsou certifikáty dostupné a ověřené, ale nejsou ještě použitelné.
Druhý krok - aktivace kořenový certifikát třídy 1, který už je na zařízení ověřen, musí být explicitně označen jako "zcela důvěryhodný"; na konci tohoto kroku budou operační systém a aplikace schopné ho používat a automaticky rozšíří tuto důvěru na zprostředkující certifikát třídy 3.
Uživatel provede tyto dva kroky pomocí různých oken nastavení operačního systému a parametrů svého zařízení.
Import certifikátů
Pro import kořenových certifikátů CAcert třídy 1 a 3 jděte prostě na web CAcertu pomocí internetového připojení Vašeho zařízení:
spusťte webový prohlížeč Safari na Vašem iPhonu nebo iPadu;
zobrazte si webovou stránku http://www.cacert.org/index.php?id=3, z níž si stáhnete certifikáty nazvané Kořenový certifikát (formát PEM) a Zprostředkující certifikát (formát PEM):
Root CA SHA256 |
||
Class 3 Root SHA256 |
Zvolte zprostředkující certifikát / klíč třídy 3 ve tvaru PEM |
z okna prohlížeče Safari klikněte odkaz (hyperlink) nabízející stažení;
jako odpověď na otázky systému iOS, souhlaste (agree) s instalací každého certifikátu - systematicky volte odpovědi vedoucí k další obrazovce.
Jako první importujte například certifikát '''Class 3 Root'''
|
|
|
|
Klikněte na |
Zadejte kód PIN |
Klikněte znovu na |
Certifikát Class 3 Root je instalován, |
Pozor: iOS zatím nepřiřadí stav "ověřen" zprostředkujícímu kořenovému certifikátu Class 3 Root, dokud není hlavní kořenový certifikát Root CA také importován.
Opakujte tutéž proceduru, nyní pro import certifikátu '''CA Root'''
|
|
|
|
Klikněte na |
Zadejte kód PIN |
Klikněte znovu na |
Certifikát Root CA je instalován |
Seznam už instalovaných certifikátů můžete vidět kdykoli návratem do ovládacího panelu: Settings -> General -> Profiles.
|
|
|
Konfigurační panel Profiles |
Certifikát Class 3 Root |
Certifikát Root CA |
Certifikát Class 3 Root dostane stav ověřen automaticky od chvíle, kdy jste importovali i certifikát Root CA.
Na pořadí importu kořenových certifikátů nezáleží. Zde jsme napřed instalovali Class 3 Root a pak Root CA, ovšem logičtější opačný postup je také možný.
Aktivujte kořenový certifikát třídy 1
V dalším kroku učiňte certifikát použitelným pro operační systém a aplikace - označte systému iOS, že důvěřujete certifikátu Root CA třídy 1.
K tomu:
otevřete ovládací panel: Settings -> General -> About -> Certificate Trust Settings
název kořenového certifikátu CA, který jste právě importovali se zde objeví; důvěra ke zprostředkujícímu certifikátu třídy 3 se vytvoří samočinně, neboť důvěřujete hlavnímu kořenovému certifikátu třídy 1. Ovládací panel však neukáže název certifikátu třídy 3;
přepněte přepínač do zelené polohy, abyste systému iOS potvrdili svoji plnou důvěru kořenovému certifikátu CAcert.
|
|
|
Přístup k ovládacímu panelu |
Potvrďte důvěru k certifikátu |
Procedura dokončena |
Od této chvíle je CAcert CA uznávána Vaším mobilním zařízením se stejnou důvěryhodností jako kterákoli jiná CA, jejíž certifikáty jsou v iOSu předinstalovány.
Řešení problémů
Jestliže ovládací panel Certificate Trust Settings v nastaveních zařízení neukáže název kořenového certifikátu CAcert, zkontrolujte, že certifikát právě importovaný v předchozím kroku je opravdu "Root CA" SHA256 (# 00000F) a ne "Root CA" MD-5 (# 000000), který je nyní zastaralý. I když jsou oba stejné, iOS a jiné operační systémy nynějších verzí nedovolují uživateli důvěřovat hlavnímu kořenovému certifikátu CAcert, když je podepsán algoritmem MD5.
Je-li omylem importován hlavní kořenový certifikát CAcertu "Root CA" MD-5 (# 000000), smažte ho v ovládacím panelu: Settings -> General -> Profiles a opakujte postup stažení, instalace a nastavení důvěry témuž certifikátu, avšak tentokrát pečlivě zvolte "Root CA" SHA256 (# 00000F).
Relevantní verze iOS
Tento návod byl napsán pro iOS verze 11 a 12.