#language cs
## 20230801 AK

## stránka byla přejmenována z ImportRootCert
----
'''česky''' | [[FAQ/BrowserClients/DE|deutsch]] | [[ImportRootCert|english]] | [[FAQ/BrowserClients/ZH|中文]]
----
== Jak může systém důvěřovat kořenovému certifikátu CAcert? ==

Viz také:
 * [[HowTo/InstallCAcertRoots/CZ|Jak instalovat kořenové certifikáty CAcert do systémů Windows 8/8.1/10/serverů 2008/2008 R2/2012/2012 R2]],
 * [[FAQ/BrowserClients/CZ|Jak importovat kořenové certifikáty CAcert do klientského softwaru]],
 * [[Roots/Contents/CZ| Obsah kořenových certifikátů]] a
 * [[Roots/Structure/CZ| Struktura kořenových certifikátů]].

Aby Váš prohlížeč nebo systém automaticky důvěřoval všem certifikátům podepsaným certifikační autoritou CAcert, musíte instruovat svoji platformu nebo prohlížeč, aby důvěřoval kořenovému certifikátu CAcert: [[http://www.cacert.org/index.php?id=3]].

U všech systémů potřebujete nastavit důvěru jak ke kořenovému certifikátu ''root_X0F.crt'', tak k certifikátu třídy 3 ''class3_x14E228.crt''.

Některé z těchto údajů jsou již uvedeny v článku [[FAQ/BrowserClients/CZ|Jak importovat kořenové certifikáty CAcert do klientského softwaru]], proto hledejte potřebné informace i tam.

Nastavení důvěry k nové certifikační autoritě je proces na různých platformách různý, a proto jsou zde jen některé způsoby, jak nastavit důvěru ke kořenovým certifikátům CAcert.  Instrukce uvedené dále tvoří pouze nástin toho, jak nastavit důvěru k jednomu certifikátu. Opakujte proces pro nastavení důvěry i ke druhému certifikátu.

'''POZOR:''' Vždy důkladně zkontrolujte "otisk prstu" staženého certifikátu, než mu začnete důvěřovat. Jestliže to neuděláte, mohl(a) byste začít důvěřovat falešnému kořenovému certifikátu modifikovanému se zlým úmyslem.

<<TableOfContents>>

=== Mac OS X ===
Jsou dva způsoby, jak nastavit důvěru ke kořenovému certifikátu CAcert: jeden z příkazového řádku, druhý z Keychain GUI (grafického rozhraní uživatele). Každý ze způsobů vyžaduje přihlášení k účtu s právy správce (administrátora).

==== Použití Keychain GUI ====
 1. Žádaný certifikát si stáhněte na plochu [[http://www.cacert.org/index.php?id=3|odtud]].
 1. '''POZOR:''' Ověřte si "otisk prstů" certifikátu, než budete pokračovat!
 1. Otevřete soubor certifikátu buď pomocí Command-O nebo dvojklikem souboru.
 1. Když se objeví Keychain, zvolte řetěz klíčů (keychain) X509Anchors.
 1. Systém Vás požádá o identifikaci Vaším heslem, aby mohl modifikovat celosystémový řetěz klíčů X509Anchors.
==== Použití příkazového řádku ====
{{{
# Stažení certifikátů
curl -k -o "cacert-root.crt"   "https://www.cacert.org/certs/root_X0F.crt"
curl -k -o "cacert-class3.crt" "https://www.cacert.org/certs/class3_x14E228.crt"
#
# POZOR: Ověřte si "otisk prstů" certifikátu, než budete pokračovat!
#
# Import certifikátů do žádaného řetězu klíčů (keychain)
sudo certtool i "cacert-root.crt"   k=/System/Library/Keychains/X509Anchors
sudo certtool i "cacert-class3.crt" k=/System/Library/Keychains/X509Anchors
# Uklidíme po sobě
rm "cacert-root.crt"
rm "cacert-class3.crt"
}}}
===== 10.5 Leopard =====
Používáte-li 10.5 Leopard a zadáte příkaz certtool ve tvaru jako výše, může se objevit tato chybová zpráva:
{{{
***************************************************************
                         WARNING

The keychain you are accessing, X509Anchors, is no longer
used by Mac OS X as the system root certificate store.
Please read the security man page for information on the
add-trusted-cert command. New system root certificates should
be added to the Admin Trust Settings domain and to the
System keychain in /Library/Keychains.
***************************************************************
***Error adding certificate to keychain

VAROVÁNÍ: Řetěz X509Anchors již Mac OS X nepoužívá pro ukládání kořenových certifikátů.
Prosím čtěte stránku příručky bezpečnosti s údaji o příkazu add-trusted-cert. 
Nové systémové kořenové certifikáty je třeba přidávat do domény Admin Trust Settings
a do systémového řetězu klíčů umístěného v /Library/Keychains.
***Chyba při vkládání certifikátu do keychain
}}}
Řešením je použít bezpečnostní příkaz add-trusted-cert:
{{{
sudo /usr/bin/security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain cacert-root.crt
sudo /usr/bin/security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain cacert-class3.crt
}}}
=== Windows ===
Popis všech způsobů importu tohoto certifikátu do Windows je mimo rozsah tohoto článku a je již uveden v [[FAQ/BrowserClients/CZ|Jak importovat kořenové certifikáty CAcert do klientského softwaru]].

=== Windows: prostředí cygwin ===

Zde není ''/etc/ssl''; proto musíte certifikát uložit do ''/usr/ssl/certs'', a to pod jeho speciálním názvem.
{{{
wget "http://www.cacert.org/certs/root_X0F.crt" -O /usr/ssl/certs/5ed36f99.0
}}}
Umístění najdete příkazem "strace wget https://somesite 2>&1 |grep ssl", který sice selže, ale uvidíte pokus o přečtení certifikátu z tohoto umístění.

=== Windows Mobile ===
==== Windows Mobile 5 ====
Na Windows Mobile 2005 potřebujete stáhnout certifikát zakódovaný jako DER (pocketIE ho nedokáže uložit, takže si ho uložte do ZIP souboru ke stažení). Potom musíte přejmenovat příponu na .cer . Až pak ho budete moci instalovat dvojklikem. 

## * Na https://wap.kleinbetrieb.biz/cacert.zip je uložen komprimovaný certifikát v souboru .zip, který lze přímo stáhnout do Vašeho zařízení.

/!\ ZASTARALÉ - neplatí pro nové kořenové certifikáty podepsané algoritmem SHA256 /!\ Můžete také importovat nové certifikáty do Windows Mobile v souboru typu CAB. Povšechný návod, jak CAB vytvořit, najdete na [[http://blogs.msdn.com/windowsmobile/archive/2006/01/28/making_a_root_cert_cab_file.aspx|blogu Windows Mobile]]. Hotový soubor CAB s certifikáty Class 1 (kořenovým) a Class 3 (zprostředkujícím) najdete na http://jacob.steenhagen.us/CAcert.cab. Tento CAB, podepsaný "Jacob Steenhagen's CAcert certificate", lze snadno stáhnout do Vašeho zařízení a instalovat. Můžete jeho pravost ověřit otevřením souboru CAB a prohlídkou souboru `_setup.xml` zjistit, že řádek před `<param/>` (který obsahuje skutečný certifikát) je:

{{{
   <characteristic type="135cec36f49cb8e93b1ab270cd80884676ce8f33">
}}}
pro class 1 a:

{{{
   <characteristic type="db4c4269073fe9c2a37d890a5c1b18c4184e2a2d">
}}}
pro class 3. (Poznámka: Ověřte uvedené "otisky prstů" s "otiskem palce" Internet Exploreru na: http://www.cacert.org/index.php?id=3), kde jsou zobrazeny.) '''Zde uvedené otisky se budou od skutečných lišit!'''

/!\ ZASTARALÉ - konec úseku /!\

==== PocketPC2002 ====
 * Existuje nástroj uložený v souboru ZIP ke stažení z http://support.microsoft.com/default.aspx?scid=kb;en-us;322956 (pocketIE na Windows Mobile WM2005 - zařízení zde nemůže zobrazit stránku HTML, ale jiný prohlížeč by mohl). Tento nástroj pracuje pouze s certifikáty vydanými pro sebe sama.
 * Zaveďte certifikát CA do Internet Exploreru jako důvěryhodný kořenový certifikát.
 * Exportujte certifikát z IE jako DER-kódovanou binární formu X.509 (s příponou .CER)
 * Odešlete soubor do svého PocketPC.
 * Ve Správci souborů (File Manager) vyhledejte dotyčný certifikát a klikněte na něj pro jeho otevření a import.
 * Po zavedení certifikátu resetujte ("teplým" restartem) Pocket PC a tím ho přinutíte načíst nový certifikát.
Pro ověření, že byl nový certifikát úspěšně zaveden do zařízení:

 * V menu Nastavení (Settings) klepněte na záložku "System", pak na "Certificates".
 * Klepněte na záložku "Root". Tam byste měli vidět kořenový certifikát CAcert, který jste právě přidali.
==== Poznámky ====
Pro wap1.x-gateways není způsob, jak hostovat šifrované wap-stránky, jestliže Váš poskytovatel wap-gateway nemá certifikát, protože stránka je dešifrována v bráně (gateway) a ne v zařízení.

=== Linux ===
Jak bude třeba modifikovat Vaši variantu Linuxu, aby důvěřovala kořenovému certifikátu CAcert, to se bude lišit podle varianty (klonu) i verze distribuce. O některých variantách máme určité informace, uvedené dále.

'''Instrukce pro klony ''Red Hat 5+'', ''Red Hat 4'' a ''Fedora'' jsou předmětem článku [[http://bugs.cacert.org/view.php?id=1344|Chyba 1344: Nesprávná instalační instrukce]]. Čtěte pro získání více informací.'''

 * '''Knoppix:''' CD verze novější než 3.8 již certifikáty mají.
 * '''Red Hat 5+:''' {{{wget -O - http://www.cacert.org/certs/root_X0F.txt >> /etc/pki/tls/certs/ca-bundle.crt}}} (to bude změněno novými RPM balíčky pro openssl, takže to asi není nejlepší metoda)
 * '''Red Hat 4:''' Změňte výše uvedené umístění ca-bundle.crt na {{{/usr/share/ssl/certs/ca-bundle.crt}}}
 * '''Fedora:''' Zkopírujte certifikát do {{{/etc/pki/ca-trust/source/anchors/}}} a spusťte {{{update-ca-trust extract}}}

'''Text z Bug1344 dále vysvětluje:'''
 * ''RHEL 4'' je zastaralý a je provozován jen za velmi speciálních podmínek
 * pro '''RHEL generace 7''' platí totéž, co pro Fedoru
 * Správný postup pro '''Fedoru''' je "update-ca-trust" namísto "update-ca-trust extract"

Krom toho můžete získat certifikáty obvyklou cestou z webu: [[http://www.cacert.org/index.php?id=3|zde]].

{{{

Na ubuntu : zkuste
sudo apt-get install ca-certificates
když je balíček nainstalován, můžete provést:
dpkg-query -L ca-certificates
a tím získat seznam kořenových certifikátů

}}}

==== Debian ====
Jak vidno z dokumentu z [[https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434#129|března 2014]], Debian již nadále nedistribuuje kořenové certifikáty CACert jako součást svých instalačních balíčků.

Můžete však i nadále importovat kořenové certifikáty CAcert takto:

{{{
$ wget http://www.cacert.org/certs/root_X0F.crt http://www.cacert.org/certs/class3_x14E228.crt
$ sudo cp root_X0F.crt /usr/local/share/ca-certificates/cacert-root.crt
$ sudo cp class3_x14E228.crt /usr/local/share/ca-certificates/cacert-class3.crt
$ sudo update-ca-certificates
}}}

Výstup by měl vypadat asi takto:

{{{
$ sudo update-ca-certificates
Updating certificates in /etc/ssl/certs... 2 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:cacert-class3.pem
Adding debian:cacert-root.pem
done.
done.
}}}

To je všechno. Pro další informace viz {{{man update-ca-certificates}}} a {{{/usr/share/doc/ca-certificates/README.Debian}}} z balíčku {{{ca-certificates}}}.

===== Instalace z nestabilní (sid) package managementem =====
Jako zdroj balíčku musíte přidat nestabilní (sid), aby všechny balíčky s výjimkou ca-cacert nebyly považovány za řešení verzí.

 1. Editujte jako root (tedy s předponou {{{sudo}}} před příkazem editoru) soubor /etc/apt/preferences tak, aby obsahoval:
    {{{
# Pasivovat nestabilní (sid)
Package: *
Pin: release o=Debian,a=unstable
Pin-Priority: -10

# Povolit ca-cacert z nestabil (sid), ale preferovat cilovy release 
Package: ca-cacert
Pin: release o=Debian,a=unstable
Pin-Priority: 100
}}}

 1. Editujte jako root soubor /etc/apt/sources.list tak, aby obsahoval (změňte odsazení podle předchozích položek)
    {{{
deb http://ftp.de.debian.org/debian/ sid main # provides package ca-cacert
Update package information and install package by running commands
sudo apt update
sudo apt-get install ca-cacert
Add trust to fresh certificates interactively running command
sudo dpkg-reconfigure ca-certificates
}}}
 1. Upravte informaci o balíčku a instalujte balíček příkazy
    {{{
sudo apt update
sudo apt-get install ca-cacert}}}
 1. Dejte novým certifikátům důvěryhodnost interaktivně spuštěným příkazem:
    {{{sudo dpkg-reconfigure ca-certificates}}}

Důvěryhodnost dostanou tyto certifikáty:

  * CAcert/class3_x14E228.crt
  * CAcert/root_X0F.crt

===== Instalace z nestabilní (sid) manuálně =====
Pozor: Tuto instalační metodu použijte, jen když jste připraveni na pracnou kontrolu podpisů. Ověřený soubor pak použijete k další instalaci.

 1. Najděte a stáhněte balíček z [[https://packages.debian.org/src:ca-cacert&dist:any|packages.debian.org]] s očekávaným názvem šablony ca-cacert_''<version>''_all.deb .

 1. Manuálně zkontrolujte podpis staženého souboru pomocí Release.gpg, jak je popsáno v [[https://wiki.debian.org/SecureApt#How_to_manually_check_for_package.27s_integrity|Secure APT (Debian wiki)]]

 1. Instalujte balíček příkazem:
    {{{sudo dpkg -i <downloaded-package-file-name>}}}

 1. Dejte novým certifikátům důvěryhodnost interaktivně spuštěným příkazem:
    {{{sudo dpkg-reconfigure ca-certificates}}}

==== KDE ====
Kořenový certifikát CAcert lze přidat do úložiště certifikátů KDE, takže všechny aplikace KDE, včetně Konquerora, budou důvěřovat certifikátům podepsaným CAcert.
 * Stáhněte si certifikáty ve formátu PEM nebo DER.
 * V Řídicím centru KDE (KDE Control Center) v části "Security & Privacy > Crypto" jděte ke stránce "SSL Signers" (podepisovatelé SSL) a klikněte "Import".
 * Zvolte certifikát, který jste si stáhli.
 * Můžete dostat otázku, zda má být certifikát dostupný také pro KMail. Je to doporučeno.
 * '''DŮLEŽITÉ!''' Najděte certifikát v seznamu (může pomoci seřazení podle "Organizational Unit" (organizační jednotky) a pak hledejte odkaz "http``://www.cacert.org"), klikněte na něj a ověřte, zda se MD5 digest viditelný naspodu okna shoduje s tím, který je uveden na stránce, odkud jste stahoval(a).

=== Symbian ===

==== Nokia E61 ====
 * Stáhněte si certifikáty (kořenový - třídy 1 a zprostředkující - třídy 3) ve formátu ''DER''.
 * Zkopírujte certifikáty do E61 (E61 nedovede číst soubory přímo z webu)
 * Otevřete každý certifikát ve Správci souborů (File Manager) a uložte ho. To budete muset potvrdit, protože E61 pokládá certifikáty za nebezpečné.

=== Java ===

{{{
$ keytool -keystore $/PATH/TO/CACERTS/KEYSTORE -storepass changeit -import -trustcacerts -v -alias cacertclass1 -file root_X0F.crt
$ keytool -keystore $/PATH/TO/CACERTS/KEYSTORE -storepass changeit -import -trustcacerts -v -alias cacertclass3 -file class3_x14E228.crt
}}}

Typická umístění klíčů - cacerts keystore:
 * Linux Ubuntu: /usr/lib/jvm/java-$VERSION/jre/lib/security/cacerts
 * Linux SuSE: /usr/java/jre$VERSION/lib/security/cacerts

Vysvětlivky:
 1. Název souboru úložiště klíčů (keystore) je "cacerts" a jeho heslo je "changeit" (napovídá, abyste je změnili).
 1. $/PATH/TO/CACERTS/KEYSTORE = zástupný text za cestu k souboru "cacerts" včetně názvu souboru.
 1. $VERSION = verze Javy, příklady:
  * Linux Ubuntu: "7-openjdk-amd64" - celá cesta včetně názvu souboru je tedy /usr/lib/jvm/java-7-openjdk-amd64/jre/lib/security/cacerts
  * Linux SuSE: "1.8.0_71" - celá cesta včetně názvu souboru je tedy /usr/java/jre1.8.0_71/lib/security/cacerts

=== Acrobat Reader ===

Viz též [[AdobeReader/CZ| Adobe Reader]] a velmi stručně o zavedení kořenových certifikátů pro podepisování do [[FAQ/BrowserClients/CZ#Acrobat_6.0| Acrobat Reader]].

Procedura pro Acrobat 8:

 * Menu Document -> Manage Trusted Identities... (Dokument - důvěryhodné identity)
 * Zobrazit: Certificates (Certifikáty)
 * Tlačítko "Add Contacts..." (Přidat kontakty)
 * "Browse" (vyhledat) kořenové certifikáty
 * Upravte důvěryhodnost podle svého přání. "Signatures and as trusted root" (Podpisy a jako důvěryhodný kořenový) je ta správná základní věc, ostatní jsou volitelné.


=== Android telefony a tablety ===

Před Androidem verze 4.0, s Androidy verzí Gingerbread a Froyo, existoval jediný soubor jen pro čtení (read-only): ( /system/etc/security/cacerts.bks ) obsahující důvěryhodné úložiště se ('systémovými') certifikáty všech CA, kterým Android standardně důvěřuje. Jak systémové aplikace, tak všechny aplikace vyvíjené pomocí SDK (Software Development Kit, sada pro vývoj softwaru) Android tento soubor používají.
[[FAQ/ImportRootCertAndroidPreICS/CZ|Použijte tyto instrukce k instalaci certifikátů CAcert na Androidu verzí Gingerbread, Froyo, ...]]

Počínaje verzí Android 4.0 (Android ICS/'Ice Cream Sandwich', Android 4.3 'Jelly Bean' a Android 4.4 'Kit''''''Kat'), jsou systémové důvěryhodné certifikáty v systémovém (read-only) oddílu (partition) ve složce '/system/etc/security/' jako jednotlivé soubory. Uživatelé však mohou nyní snadno přidat své vlastní 'uživatelské' certifikáty, které se ukládají do '/data/misc/keychain/certs-added'.

Systémem-instalované certifikáty lze spravovat v zařízení Android v sekci Nastavení -> Zabezpečení -> certifikáty -> 'Systém' (Settings -> Security -> Certificates -> 'System'), zatímco uživatelské důvěryhodné certifikáty se spravují v sekci 'Uživatel ('User') tamtéž.
Při použití uživatelských důvěryhodných certifikátů Android donutí uživatele zařízení implementovat další bezpečnostní opatření: odemknutí obrazovky PIN-kódem, gestem (pattern-lock) nebo dalším heslem; tato opatření jsou povinná, když se používají uživatelem dodané certifikáty.

Instalace certifikátů CAcert jako 'uživatelských důvěryhodných' ("user-trusted') certifikátů je velmi snadná. Instalace nových certifikátů jako 'systémových důvěryhodných' ('system trusted' certifikátů je pracnější (a vyžaduje přístup správce [root]), ale má tu výhodu, že Android nevyžaduje uzamykání obrazovky.


==== Uživatelské důvěryhodné certifikáty CAcert ====

Stáhněte soubory kořenových certifikátů ('root_X0F.crt' a 'class3_x14E228.crt') do vnitřní paměti ('/sdcard' nebo některé podsložky).
Vyhledejte tu složku správcem souborů a otevřete 'root_X0F.crt'. Ačkoli zde nemusíte vidět ikonu certifikátu a soubory budou mít ikonu '?', budou soubory otevřeny správcem certifikátů, který se Vás zeptá na popisné jméno/název certifikátu. jenž má být importován. Je-li to první uživatelský certifikát, který instalujete, donutí Vás Android Security Model použít zamykací obrazovku k odemknutí Vašeho zařízení (viz "Systémové důvěryhodné certifikáty CAcert (CAcert system trusted certificates)", pokud se tomu chcete opravdu vyhnout).
Opakujte totéž se souborem 'class3_x14E228.crt'. 
Zkontrolujte, zda oba certifikátové soubory jsou správně nainstalovány: Nastavení -> Zabezpečení -> Certifikáty -> Uživatelské (Settings -> Security -> Certificates -> 'User' - sekce by už měla ukázat právě instalované certifikáty.


==== Systémové důvěryhodné certifikáty CAcert (bez uzamykací obrazovky) ====

Existující metoda importu uživatelských certifikátů funguje dobře, ale má tu nevýhodu, že vyžaduje PIN / heslo uzamykací obrazovky, kdykoli jsou nainstalovány uživatelské certifikáty.
Instalací certifikátů CAcert jako systémových certifikátů jsou tyto soubory lépe chráněny před manipulací ze strany aplikací se zlými úmysly, a není zde ani uzamykací obrazovka (pouze 'Odemkněte přetažením' ['Slide to unlock'] nebo vůbec žádná).
Budete k telefonu potřebovat přístup správce (root); nebo aspoň dočasný, a systém s openssl softwarem pro vytvoření nových certifikátů.

Další kroky Vám ukáží, jak vytvořit Android-kompatibilní soubory certifikátů z originálních certifikátových souborů CAcertu, jak je instalovat/importovat na Vaše zařízení s Androidem a jak ověřit,že je instalace korektní.

V Androidu verze 4.4.2 je možno uložit certifikáty jako "uživatelské" (Android sám vytvoří jejich správné názvy odvozené z haše) a pak je programem pro Android, jako je Terminál, adb shell nebo Ghost Commander přesunout do systémového úložiště. Pokud budete postupovat takto, přeskočte na odstavec "[[#Importování|Importování]]" a místo zdrojového podadresáře "/sdcard" který je tam uveden, použijte podadresář "/data/misc/keychain/cacerts-added", kam Android ukládá "uživatelské" certifikáty. Kořenové certifikáty CAcert nekopírujte, ale přesuňte!

===== Vytvoření =====
Z originálních souborů kořenových certifikátů CAcert vytvoříme certifikátové soubory kompatibilní s Androidem.
 * Oba soubory 5ed36f99.0 a e5662767.0 jsou připraveny ke stažení i s hašemi ke kontrole [[FAQ/NewRoots/CZ#Nové kořenové certifikáty CAcert připravené pro systémy Android|zde]]
Kořenové certifikáty CAcert získáme z webu cacert.org: https://www.cacert.org/index.php?id=3
Stáhneme je ve formátu PEM: (root_X0F.crt) a PKI klíč třídy 3 také ve formátu PEM (class3_x14E228.crt)
Získáme haš (hash) certifikátu root_X0F.crt:
{{{
openssl x509 -inform PEM -subject_hash_old -in root_X0F.crt | head -1
}}}
To Vám zobrazí haš (hash), což v případě souboru CAcert PEM 'root_X0F.crt' je '5ed36f99' (musíte zadat '-subject_hash_old' místo '-subject_hash', neboť potřebujete haš kompatibilní s openssl 0.9)
Použijeme tuto hodnotu, doplníme '.0' (tečku a nulu) a použijeme výsledek jako název souboru pro výsledný certifikát Androidu:
{{{
cat root_X0F.crt > 5ed36f99.0
openssl x509 -inform PEM -text -in root_X0F.crt -noout >> 5ed36f99.0
}}}
Opakujte tyto kroky pro PEM certifikát třídy 3, soubor 'class3_x14E228.crt'.
Když vše půjde dobře, získáte soubory '''5ed36f99.0''' a '''e5662767.0''' (dostanete-li haš hodnoty 590d426f a 99d0fa06, nepoužili jste v openssl parametr '-subject_hash_old'). 

Kontrolní haše certifikátových souborů:
{{{
md5sum 5ed36f99.0
6ecc343c22ba3ba6ef817f0d8bd744e1  5ed36f99.0

md5sum e5662767.0
e2e7c5924103de7d2b93fef735176b45  e5662767.0
}}}

{{{
sha1sum 5ed36f99.0
8d9ca4e340ecf56911296b3c48b3a4969515b268  5ed36f99.0

sha1sum e5662767.0
915346ab8ea8a2a00e158afb8c03ce43c8745f16  e5662767.0
}}}

{{{
sha256sum 5ed36f99.0
a04100c5026e41cf6d79a4653495258afc02f1819d742a3f8af848e052036196  5ed36f99.0

sha256sum e5662767.0
239e3845dde6dba0a63b5e17d7365c27f0af27b51da2bddf293c54a84fa7f181  e5662767.0
}}}

===== Importování =====

Nyní máme certifikátové soubory kompatibilní s Androidem a budeme je importovat do 'systémového' certifikátového úložiště Androidu. Podmínkou je, abyste získali práva superuživatele a mohli zapisovat do / odstraňovat ze systémových podadresářů. K tomu je nutné, aby systém Androidu obsahoval program "su" ('''s'''uper'''u'''ser), který Vám dá práva superuživatele - správce systému. Některé telefony neobsahují v systému tento program, a pak jste odkázáni na ukládání všech přidaných certifikátů jen jako "uživatelských". 

Zkopírujte soubory do složky /sdcard, buď správcem souborů nebo pmocí '''adb push'''.
Jděte do prostředí adb shell ('''adb shell''' z příkazového řádku), nebo otevřete aplikaci 'terminal' na svém zařízení
Android. Uvidíte příkazovou nápověď podobnou této: '''shell@android:/ $ '''
Získejte práva superuživatele nebo správce (superuser/root), potřebná k provedení privilegovaných akcí:
{{{
su
}}}
Změňte práva složky /system pro zápis (po rebootu budou zase jen pro čtení [read-only]):
{{{
mount -o remount,rw /system
}}}
Zkopírujte nové certifikátové soubory do správné složky zařízení Android:
{{{
cp /sdcard/5ed36f99.0 /system/etc/security/cacerts/
cp /sdcard/e5662767.0 /system/etc/security/cacerts/
}}}
Upravte práva souborů na u=rw, g=r, o=r (u = vlastník, g = skupina, o = ostatní; r = čtení-4, w = zápis-2):
{{{
cd /system/etc/security/cacerts/
chmod 644 5ed36f99.0
chmod 644 e5662767.0
}}}
Zkontrolujte, zda jsou soubory ok:
{{{
ls -al -Z
}}}
Vynechte '-Z', jestliže používáte verzi Androidu bez SElinux, to pouze ukáže další zabezpečení, které může být užitečné, nastanou-li potíže.

Kromě ostatních standardních certifikátových souborů Androidu uvidíte dva nové sobory: 
{{{
-rw-r--r-- root     root              u:object_r:system_file:s0 5ed36f99.0
-rw-r--r-- root     root              u:object_r:system_file:s0 e5662767.0
}}}

Certifikáty budou zavedeny při dalším bootu (studeném restartu, vypnutí/zapnutí) Vašeho zařízení, takže proveďte:
{{{
reboot
}}}

===== Ověření =====

K ověření, že jsou certifikáty správně nainstalovány, jděte na Nastavení -> Zabezpečení -> Certifikáty (Settings -> Security -> Certificates). Tam byste měl(a) vidět jak "CAcert Inc.", tak "Root CA" kromě dalších certifikátů v sekci 'System'. Přesvědčte se, že tyto certifikáty nejsou i v sekci 'User' (uživatelem definované).
Ze svého zařízení s Androidem navštivte [[https://www.cacert.org]]. Když neuvidíte výstrahu ohledně chybějících nebo nedůvěryhodných certifikátů, je vše v pořádku.

Některé prohlížeče mohou používat své vlastní úložiště certifikátů místo toho, které je v Androidu; pak asi budete muset importovat certifikátové soubory také do těchto prohlížečů.

Nejste-li schopni potlačit uzamykací obrazovku Androidu (PIN/Pattern) po instalaci systémových certifikátů, budete asi potřebovat funkci "Odstranit/smazat pověření (Clear/delete credentials)" (Nastavení -> Zabezpečení [Settings -> Security]), i když tím odstraníte všechny uživatelské certifikáty.

Nastanou-li problémy, porovnejte md5 sum certifikátových souborů s hodnotami md5 uvedenými v tomto článku, zkontrolujte také práva nově instalovaných souborů.
Zajistěte, aby nebyl instalován žádný uživatelský certifikát (Nastavení -> Zabezpečení -> Smazat certifikáty [Settings -> Security -> Clear certificates]), a používejte prohlížeč, který používá certifikáty z úložiště Androidu nemá svoje vlastní úložiště.

V budoucnosti mohou být v Androidu použity novější verze openssl. Jestliže ano, musíte odstranit část "_old" z parametru openssl "-subject_hash_old".

==== Odkazy ====

[[http://wiki.pcprobleemloos.nl/android/cacert|Jak instalovat certifikáty CAcert na Android ICS, Jelly Bean a novější verze (Sebastiaan Giebels)]]

[[http://forum.cyanogenmod.com/topic/82875-installing-cacert-certificates-on-android-as-system-credentials-without-lockscreen/|CyanogenMod fórum s tímtéž článkem Sebastiaana Giebelse]]

[[http://patrick.vande-walle.eu/hardware/android/adding-ssl-root-certificates-to-android-ics-and-jellybean/|Přidání kořenových certifikátů SSL do Androidu verzí Ice Cream Sandwich a Jellybean (Patrick Van de Walle)]] - obsahuje specifické podrobnosti o OpenSSL.

[[http://stackoverflow.com/questions/13981011/cacerts-bks-does-not-exist/18390177#18390177|StackOverflow - user2708846 komentář, jak vytvořit správné soubory certifikátů pro Android]]

[[http://nelenkov.blogspot.jp/2011/12/ics-trust-store-implementation.html|Popis implementace ICS Trust Store (Nikolaj Jelenkov)]]

[[http://oldwiki.cyanogenmod.org/wiki/Add_Manual_CA|CyanogenMod wiki (old) - článek o přidání CA bez vyžadování PINu]] (chyba, když není použit haš certifikátu jako název souboru)

[[http://android.stackexchange.com/questions/28689/install-ca-without-having-to-activate-screen-lock|StackExchange - Instalace CA bez nutnosti aktivace zamykací obrazovky]]

=== Palm Pre (webOS) ===

Počínaje webOS 1.2 je postup pro přidání kořenových certifikátů do Palm Pre mimořádně jednoduchý a lze ho celý provést přímo na telefonu.

 1. V prohlížeči Pre jděte na http://www.cacert.org/index.php?id=3 nebo http://www.cacert.org a klikněte na Kořenové certifikáty (Root Certificates)
 1. Pod Třídou 1 (Class 1) kliknte na odkaz [[http://www.cacert.org/certs/root_X0F.crt|Kořenový certifikát (formát PEM)]]
 1. Dole na obrazovce se objeví šedá lišta postupu. Když je certifikát úplně stažen, objeví se na pravé straně lišty šipka
 1. Klikněte na lištu obsahující '''root_X0F.crt''' na zmíněnou šipku
 1. Objeví se Správce certifikátů a dá Vám možnost vidět podrobnosti detail a přijmout nebo odmítnout certifikát
  * Bohužel na této obrazovce není "otisk prstu" (fingerprint), takže ho nelze ověřit.
 1. Klikněte na tlačítko "Důvěřuj certifikátu (Trust Certificate)"
 1. Opakujte s certifikátem třídy 3: [[http://www.cacert.org/certs/class3_x14E228.crt|Zprostředkující certifikát (formát PEM)]]

'''Poznámka:''' U systémů webOS nižších verzí než 1.2 musíte kopírovat soubory .crt do paměti telefonu za použití režimu USB, vyvolat manažer certifikátů (Device Info; More Info (tlačítko naspodu); Certificate Manager (menu Preferences nahoře)), a importovat certifikáty (ikona na obrazovce vlevo dole k jejich vyhledání).


== Jak se mohu ujistit, že jsou autentické? ==
Je mnoho způsobů, jak se ujistit, že máte autentické, nezmanipulované kopie kořenových certifikátů; u všech stačí mít důvěryhodnou stranu, kde ověříte "otisky prstů (fingerprints)".  Někdy je důvěryhodnou stranou distributor Vašeho systému, ale můžete si je také ověřit sami.

 * Byl-li Váš systém uveden výše, můžete použít příslušné instrukce k ujištění, že máte autentickou kopii kořenových certifikátů CAcert.
 * Můžete si certifikáty stáhnout [[http://www.cacert.org/index.php?id=3|odtud]] a ověřit je ručně.

=== Nalezení správných "otisků prstů" (fingerprints) ===
CAcert se snaží zajistit několik míst, kde půjde ověřit "otisky prstů" certifikátů. Dále uvádíme známé cesty k nalezení autentických kopií "otisků prstů" kořenových certifikátů CAcert.

 * Můžete dešifrovat zprávu podepsanou GPG [[http://www.cacert.org/index.php?id=3|odtud]] a porovnat "otisky prstů" certifikátů obsažené ve zprávě s "otisky prstů" získanými z certifikátů, které jste si stáhli.
 * Získejte kopii vytištěnou na formuláři zaručení (CAP); požádejte o ni při příští události.
 * Najděte je v Impressum of [[http://linuxmagazin.de/|Linux Magazin]].
CAcert v současnosti pracuje na poskytování "otisků prstů" těmito dalšími způsoby:

 * Byznysové karty s natištěnými "otisky prstů".
 * Publikace "otisků prstů" v dalších časopisech.

----

 . CategoryCommunity
 . CategoryConfiguration
 . CategoryGuide
 . CategorySoftware
 . CategorySupport