/!\ Starší verze iOS než 11 a 12 - viz HowToDocuments/iOSCertificateImport/old/CZ /!\

Rozpracováno.
Obsah (anglický) bude ještě přepsán do lepší angličtiny; je přeložen z francouzského návodu

Import a aktivace kořenových certifikátů CAcert v iOS

Tento návod popisuje, jak importovat kořenové certifikáty CAcert do mobilního zařízení s operačním systémem iOS (verzí 11 a 12), aby byla certifikační autorita CAcert takovým zařízením rozeznána jako důvěryhodná (trusted). Takže jak operační systém, tak instalované aplikace přijmou (accept) všechny klientské a serverové certifikáty podepsané (signed) CA CAcert, jejím jedním nebo druhým kořenovým certifikátem.

Jak už asi víte, CAcert zveřejňuje dva kořenové certifikáty:

1

Root CA SHA256

hlavní kořenový certifikát třídy 1, podepsaný sám sebou algoritmem SHA256

pořadové číslo (serial #) = 00000F

2

Class 3 Root SHA256

zprostředkující kořenový certifikát třídy 3, podepsaný Root CA algoritmem SHA256

pořadové číslo (serial #) = 00000E

Protože certifikát třídy 3 je podepsán certifikátem třídy 1, zjistí-li iOS Vaši důvěru k certifikátu třídy 1, bude automaticky důvěřovat také certifikátu třídy 3. Musíte tedy výslovně důvěřovat pouze certifikátu třídy 1, který neodvozuje svoji důvěryhodnost od žádného jiného certifikátu (neboť je podepsán sám sebou).

Je ovšem zapotřebí do mobilního zařízení manuálně importovat oba kořenové certifikáty.

iOS - Import a aktivace

Operační systém firmy Apple má svou vlastní logiku - potřebuje rozlišit dva stavy:

Uživatel provede tyto dva kroky pomocí různých oken nastavení operačního systému a parametrů svého zařízení.

Import certifikátů

Pro import kořenových certifikátů CAcert třídy 1 a 3 jděte prostě na web CAcertu pomocí internetového připojení Vašeho zařízení:

Root CA SHA256

Zvolte kořenový certifikát / klíč třídy 1 ve tvaru PEM

Přímé stažení

Class 3 Root SHA256

Zvolte zprostředkující certifikát / klíč třídy 3 ve tvaru PEM

Přímé stažení

Jako první importujte například certifikát '''Class 3 Root'''

iOS_Step#1a-1_small.png

iOS_Step#1a-2_small.png

iOS_Step#1a-4_small.png

iOS_Step#1a-5_small.png

Klikněte na
Install

Zadejte kód PIN
zařízení

Klikněte znovu na
Install

Certifikát Class 3 Root je instalován,
ale ještě není ověřen

Pozor: iOS zatím nepřiřadí stav "ověřen" zprostředkujícímu kořenovému certifikátu Class 3 Root, dokud není hlavní kořenový certifikát Root CA také importován.

Opakujte tutéž proceduru, nyní pro import certifikátu '''CA Root'''

iOS_Step#1b-1_small.png

iOS_Step#1b-2_small.png

iOS_Step#1b-4_small.png

iOS_Step#1b-5_small.png

Klikněte na
Install

Zadejte kód PIN
zařízení

Klikněte znovu na
Install

Certifikát Root CA je instalován
a také ověřen

Seznam už instalovaných certifikátů můžete vidět kdykoli návratem do ovládacího panelu: Settings -> General -> Profiles.

iOS_Step#1c-1_small.png

iOS_Step#1c-2_small.png

iOS_Step#1c-3_small.png

Konfigurační panel Profiles
ukáže instalované certifikáty

Certifikát Class 3 Root
má stav ověřen

Certifikát Root CA
má stav ověřen

Certifikát Class 3 Root dostane stav ověřen automaticky od chvíle, kdy jste importovali i certifikát Root CA.

Na pořadí importu kořenových certifikátů nezáleží. Zde jsme napřed instalovali Class 3 Root a pak Root CA, ovšem logičtější opačný postup je také možný.

Aktivujte kořenový certifikát třídy 1

V dalším kroku učiňte certifikát použitelným pro operační systém a aplikace - označte systému iOS, že důvěřujete certifikátu Root CA třídy 1.

K tomu:

iOS_Step#2-1_small.png

iOS_Step#2-2_small.png

iOS_Step#2-3_small.png

Přístup k ovládacímu panelu
Certificate Trust Settings

Potvrďte důvěru k certifikátu
přes vážné varování

Procedura dokončena
úspěšně!

Od této chvíle je CAcert CA uznávána Vaším mobilním zařízením se stejnou důvěryhodností jako kterákoli jiná CA, jejíž certifikáty jsou v iOSu předinstalovány.

Řešení problémů

Jestliže ovládací panel Certificate Trust Settings v nastaveních zařízení neukáže název kořenového certifikátu CAcert, zkontrolujte, že certifikát právě importovaný v předchozím kroku je opravdu "Root CA" SHA256 (# 00000F) a ne "Root CA" MD-5 (# 000000), který je nyní zastaralý. I když jsou oba stejné, iOS a jiné operační systémy nynějších verzí nedovolují uživateli důvěřovat hlavnímu kořenovému certifikátu CAcert, když je podepsán algoritmem MD5.

Je-li omylem importován hlavní kořenový certifikát CAcertu "Root CA" MD-5 (# 000000), smažte ho v ovládacím panelu: Settings -> General -> Profiles a opakujte postup stažení, instalace a nastavení důvěry témuž certifikátu, avšak tentokrát pečlivě zvolte "Root CA" SHA256 (# 00000F).

Relevantní verze iOS

Tento návod byl napsán pro iOS verze 11 a 12.


HowToDocuments/iOSCertificateImport/CZ (last edited 2021-07-14 10:15:48 by AlesKastner)