O certifikátech, jaké existují, jaké jsou mezi nimi rozdíly nebo jak je můžete získat, jsme již zevrubně psali v iPure č. 12. V dnešním článku se zaměříme na komerční certifikát a jeho využití při šifrování e-mailové komunikace a na to, jak tento certifikáte exportovat z vašeho macOS a nainstalovat do iOS.
Na úvod si připomeňme, že komerční certifikát se používá především pro šifrování e-mailové komunikace, což kvalifikovaný certifikát, který je primárně určen pro podepisování a ověřování identity uživatele při komunikaci se státní správou, neumí. Jednoduše řečeno: komerčním certifikátem šifruji e-maily a kvalifikovaným podepisuji dokumenty a e-maily určené pro státní správu. Kvalifikovaný certifikát vám šifrování nezajistí a nebude pro tento účel funkční.
Šifrovaná e-mailová komunikace je vysoce bezpečná a nikdo třetí nemůže e-maily mezi vámi a příjemcem přečíst, i kdyby vám elektronickou poštu „odposlouchával“. Bude mu totiž chybět šifrovací klíč, bez kterého se pro přečtení zprávy neobejde. Případnému vetřelci se zobrazí namísto textu jen sada nesmyslných znaků.
Nyní se tedy krok za krokem podíváme na to, jak správně komerční certifikát exportovat z macOS, nainstalovat do iOS a následně s ním šifrovat e-maily.
V macOS otevřete aplikaci Klíčenka a najděte svůj certifikát. Měl by být označen jako v mém případě Public CA 2.
Označte certifikát a pravým tlačítkem myši vyberte volbu informace. Pokračujte kliknutím na položku Důvěra a vyberte Vždy důvěřovat. Certifikáty Postsignum a I.CA momentálně nepožívají důvěryhodnost společnosti Apple, a proto ji musíte nastavit ručně. Toho se ale vůbec nebojte, EU tyto certifikační autority považují za důvěryhodné a s jejich využitím nebudete mít problém. Jedná se o prověřené certifikační autority, jež vystavují také kvalifikované certifikáty, které již požívají důvěryhodnosti dle §12 zákona č. 227/2000 Sb., o elektronickém podpisu.
Po označení certifikátu za důvěryhodný se vraťte zpět na výběr certifikátu a zvolte položku Exportovat.
Vyberte místo, kde certifikát chcete uložit. Vzhledem k tomu, že budu ihned exportovat do iOS, ukládám si na plochu.
V dalším kroce budete vyzváni k zadání hesla. Toto je poměrně důležitý krok a určitě nepodceňujte kvalitu hesla. Nikdy nevíte, kde se váš certifikát může octnout.
Certifikát je uložen na ploše. Vyberte a odešlete do iOS zařízení. Já volím AirDrop, ale můžete poslat přes iMessage, e-mail, případně uložit na cloud.
Nyní přejdeme do iOS zařízení a budeme pokračovat v těchto krocích:
Nejprve se vás iOS dotáže na místo instalace profilu. Vyberte iPhone/iPad (Profil je označení mimo jiné také pro certifikáty).
Vyberte Instalovat.
V dalším kroku budete vyzváni k zadání kódu, kterým otevíráte iPhone.
Sytém vás nyní bude informovat, že profil není podepsaný. Ignorujte a zvolte instalovat. Certifikát se nainstaluje a nyní budete požádání o heslo k certifikátu. Je to heslo, které jste zadávali při jeho exportu certifikátu na plochu vašeho Macu.
Nyní se vám nainstaloval certifikát do systému iOS a naleznete jej v profilech v Nastavení > Obecné > Profily a správa zařízení.
Nyní propojíme váš nově nainstalovaný certifikát s vašim e-mailovým účtem. Zvolte Nastavení > Účty a hesla a vyberte e-mailový účet, který se k certifikátu vztahuje (pokud zvolíte jiný e-mail než ten, na který je certifikát vystaven, nebude vám podpis ani šifrování fungovat). Poté klepněte na Účet e-mailu.
Pokračujte tapnutím na Rozšířená nastavení.
Nyní zatrhněte zeleně S/MIME a následně zvolte položku Podepsat.
Zatrhněte Podepsat a vyberte certifikát (měl by být označen vašim jménem). Pokud si nejste jisti, tapněte na položku i za certifikátem, kde se zobrazí jeho detaily.
Vraťte se zpět na Rozšířené nastavení a stejným postup opakujte pro položku Standardně šifrovat. Po dokončení by měla vypadat obrazovka displeje takto.
Nyní máte nainstalován certifikát a propojen s vašim e-mailem. Pojďme tedy vše ověřit a vyzkoušet.
Otevřete aplikaci Mail (jiná než nativní aplikace iOS zatím S/MIME certifikáty nepodporuje). Vše dobře ověříte, pokud otevřete e-mail od někoho, kdo vám poslal šifrovanou zprávu. V mém případě odpovím na e-mail PostSignum, který mi zaslal informace o mém certifikátu. Pokud iOS certifikát odesílatele nemá v seznamu důvěryhodných, zobrazí se vám vedle e-mailu odesilatele otazník. Na něj tapněte.
Zvolte položku Zobrazit certifikát.
Abyste mohli komunikovat pomocí šifrovaných zpráv, musí vám nejprve někdo zaslat e-mail stejně jako v mém případě PostSignum, který obsahuje certifikát odesílatele a v tomto kroku zvolíte Instalovat.
Certifikát odesílatele se nainstaluje a od této chvíle již kdykoliv, kdy vám dorazí e-mail tohoto uživatele, systém rozpozná certifikát jako důvěryhodný a bude možné zahájit automatické šifrování vaší vzájemné komunikace. Stejný proces bude absolvovat příjemce vašeho e-mailu. Instalace certifikátů příjemce/odesílatele se provede jen jednou a poté již vše funguje automaticky a veškerá vaše komunikace bude automaticky šifrována.
Nově se vám při komunikaci s tímto uživatelem vždy zobrazí v horním rohu šifrováno a e-mail uživatele zmodrá. Pokud budete posílat e-mail někomu, kdo nemá svůj vlastní certifikát a nedojde ke stejné výměně a instalaci certifikátu, zpráva se vám zobrazí červeně s informací, že nelze šifrovat. Takovýto e-mail bez problému odešlete, jen nebude zašifrovaný.
Komerční certifikát máme nainstalován, a tak můžete zasílat šifrované zprávy komukoliv, kdo je také vybaven komerčním certifikátem pro šifrování zpráv.
Uživatelé PC s Windows, nevěšte hlavu. Certifikát vyexportujete také – jen cesta, jak toho dosáhnout z Windows, je trochu odlišná a nemůžete jej odeslat do iOS přes AirDrop. V PC otevřete Internet Exploreru, zvolte Nastavení a vyberte Certifikáty. Najděte svůj certifikát a pokračujte dle nabízených kroků pro export certifikátu.
Dobrý den, dovoluji si upozornit, že kvalifikovaným certifikátem lze šifrovat e-mailovou komunikaci a běžně se tak děje. Rozdíl mezi kvalifikovaným a komerčním certifikátem nespočívá ani tak v tom, co dovedou (technicky dovedou totéž), ale co jim je dovoleno provádět. Něco o tom zde: https://www.elektronicky-podpis.info/pojmy/komercni-certifikat.dot Pokud vím, vydavatelé kvalifikovaných certifikátů stále nezakázali, aby se jimi šifrovaly e-maily. Nelze se s nimi autentizovat vůči webovým portálům, to je v kvalifikvoaném certifikátu zablokované. Také by možná stálo za to zdůraznit, že se šifruje vždy certifikátem (resp. veřejným klíčem) toho, komu e-mail posílám. To vypadá na první pohled zvláštně, ale je to tak. Z Vašeho popisu to pak de-facto vyplývá. Pěkný den, David Navara
Dobrý den, Davide. Moc děkuji za Váš komentář. Musím se přiznat, že od doby, kdy jsem šifrování na iOS (a na to byl primárně můj článek mířen) se něco změnilo, protože v době vzniku článku, kdy jsem testoval šifrování emailů přes iOS toto nešlo. Kvalifikovaným certifikátem jste se prostě v iOS nepodepsal a neustále Vám vyskakovala hláška, že zpráva nebude šifrována a to i přes skutečnost, že jste si nainstaloval certifikát odesílatele. Prostě od Vás šifrovaný e-mail neodešel. Dnes jsem zkoušel znovu a ano máte pravdu. Kvalifikovaným certifikátem dnes i v iOS šifrovanou zprávu odešlete. Druhou částí tématu článku bylo také rozlišit fungování těchto dvou certifikátů a jejich primární určení a to je pořád stejné. V každém případě děkuji za Váš příspěvek a aktualizaci informace. Pro mnoho uživatelů iOS to určitě bude podnětné.