Digitální podpis na iPhone a iPad

Tento návod slouží pro majitele zařízení Apple s operačním sysémem iOS, tedy iPhone či iPad. Pomocí něj dokážete vydaný certifikát naimportovat do zařízení a nastavit do poštovního klienta. V návodu také najdete postup pro podpis a šifrování zprávy přímo v zařízení s iOS.

Import certifikátu do zařízení

Certifikáty S/MIME Client Premium obsahují e-mailovou adresu, pro kterou je certifikát vydán. Před vydáním certifikátu je potřeba tuto adresu potvrdit, aby bylo prokázáno, že držitel adresy s vydáním souhlasí.

Odkaz pro potvrzení zaslaný certifikační autoritou míří na web DigiCertu. Zde uvidíte kladný výsledek ověření adresy a informaci o následném vydání certifikátu. V tuto chvíli je vše hotovo a pro vydání není nic víc potřeba!

Pozor: K vyzvednutí Client Premium certifikátů se již nepoužívá Internet Explorer; certifikát je vydán obvyklým způsobem na základě dodaného CSR.

Certifikát Vám po vydání dorazí e-mailem. Exportujte ho do PFX (udělat to můžete v detailu objednávky ve svém zákaznickém účtu kliknutím na "Stáhnout certifikát v PFX") a dostaňte ho do iPhonu či iPadu. Nejjednodušší je poslat si PFX soubor e-mailem. Pak soubor otevřete a uvidíte potvrzení o tom, že "Profil byl stažen".

Běžte tedy do Nastavení -> Obecné -> Profil (poslední volba). Zde klikněte na Certifikát identity a v dalším dialogu ho nainstalujte. Varování o nepodepsaném profilu ignorujte a až budete vyzváni k zadání hesla k certifikátu, tak zadejte heslo, které jste PFX souboru nastavili při exportu z IE (nenechte se zmást tím, že hesla se zadávají dvě - prvně k odemčení iOS zařízení, druhé k PFX). Nyní je certifikát naimportován v zařízení a můžete ho začít používat.

Pozor: Certifikáty se do iOS zařízení obecně importují jako profily a během importu (i po něm) ukazují červeně Neověřeno; nenechte se tím znervóznět. I naimportovaný certifikát má u sebe červeně "Neověřeno" a ničemu to nevadí (viz poslední odstavec).

Neověřeno u profilu neznamená nic špatného

Po úspěšném importu profilu je certifikát v zařízení vidět jako tzv. Konfigurační profil, což je ve srovnání s PC programy nelogické a může uživatelům dělat potíže. .

Nastavení podpisového certifikátu

Pro možnost podpisu zpráv je nutné nastavit certifikát k použití pro konkrétní poštovní účet; to je stejný princip jako na desktopu. Po úspěšném importu tedy přejděte k nastavení certifikátu pro váš e-mailový účet.

Jděte od Nastavení: Hesla a účty -> Vyberte daný poštovní účet, v následné, detailu klikněte znovu na název účtu a v dalším detailu jděte do Účet -> Ostatní; spodní sekce S/MIME obsahuje přepínače pro volby Podepsat a Standardně šifrovat. Předpokladem pro zapnutí této volby je logicky přítomnost certifikátu v zařízení.

Popisování e-mailu (i šifrování) lze nastavit jako výchozí pro každou zprávu.

Podepisování e-mailů

V iOS si nastavte jako výchozí minimálně podepisování e-mailů pro daný poštovní účet. Pak při vyplňování e-mailu adresáta uvidíte vedle adresy malý zámek. Ten indikuje stav zabezpečení - otevřený zámek znamená podpis, uzamčený zámek znemaná šifrování zprávy. Můžete také vidět červený zámek - ten symbolizuje nemožnost použití šifrování, viz poslední odstavec.

Klepnutím na modrý zámek přepínáte mezi podepsáním a šifrováním zprávy (příjemci dorazí podepsaná i šifrovaná). Můžete použít i více adres příjemců.

Šifrování e-mailů

iOS zařízení samozřejmě umožňuje o odeslání šifrované zprávy. Předpokladem je instalace (sic) certifikátu příjemce do zařízení. Nestačí pouhé přijetí zprávy s veřejným klíčem, jak je tomu u PC aplikací (Outlook, Thunderbird). Otevřete si tedy nějaký podepsaný e-mail daného příjemce, klepněte na detail podpisu, zobrazte si certifikát a dejte ho Instalovat. Pak můžete tomuto příjemci poslat šifrovanou zprávu.

Detail podepsaného a šifrovaného e-mailu — Detail podpisu zprávy a import certifikátu z e-mailu

Import certifikátu z e-mailu — Detail podpisu zprávy a import certifikátu z e-mailu

Upozornění: Šifrovanou zprávu můžete poslat pouze příjemci, který vám už někdy poslal podepsaný e-mail a jehož certifikát máte naimportovaný v zařízení (možnost Instalovat certifikát). Pokud nemáte jeho certifikát (obsahující veřejný klíč), tak mu nemůžete poslat šifrovanou zprávu.

Pro odeslání šifrované zprávy stačí zapnout šifrování jako výchozí (viz odstavec Nastavení podpisového certifikátu); pak se bude nabízet těm adresátům, jejichž certifikát máte naimportován. Stačí tedy začít psát novou zprávu pro takového adresáta a potvrzení šifrování vidíte jak v podobě zámku, tak textově v záhlaví zprávy. Změnit šifrování na podpis lze klepnutím na zámek, ten se "rozpojí", nebo bude přeškrtnutý. To záleží na verzi iOS, kterou používáte a zobrazení se mírně liší.

Jak poznáte režim zabezpečené zprávy? U podepsané zprávy je modrý zámek v jakékoliv podobě. U šifrované zprávy je nahoře nad zprávou napsáno Šifrováno.

Problémy na které můžete narazit

Naimportované certifikáty se v agentě Profilů zobrazují jako "Neověřené". To však nesouvisí s jejich důvěryhodností a v poštovním klientovi jsou plně důvěryhodné, což je i vidět. Je to tím, že importované certifikáty jsou defaultně považovány za nedůvěryhodné, ale v e-mailovém klientovi fungují bezvadně. Viz Nápověda Apple.
U starších verzí iOS se může projevit problém s šifrováním zprávy (např. iOS 12); e-mailový klient odmítá při odeslání použít šifrování. U iOS 13 se již problém neprojevuje a doporučujeme proto update.
E-mailový klient v iOSu neumí šifrovat e-mail "sám sobě", tedy neodešlete šifrovanou zprávu na mail odesilatele.
Můžete se setkat s bugy, kdy např. v iOS 12.4.7 zůstává nadpis Šifrování zobrazen

Nápověda