2

我目前正在开发一个具有端到端加密的 iOS 应用程序。为了让用户相互验证,每个用户都会生成一个 x509 证书签名请求 (CSR) 并将 CSR 发送到我们的 CA 服务器进行签名。

用户可以通过验证其他用户证书是否由 CA 签署来信任其他用户。

我的问题是:

在 iPhone 上,我目前有需要验证的 CA 证书和用户证书。如何验证用户证书实际上是由 CA 签署的?

我最好的尝试是下面的代码,但它没有指定评估 clientCert 的对象,这让我感到困惑。

-(BOOL) evaluateTrust:(SecCertificateRef) clientCert{

    SecPolicyRef myPolicy = SecPolicyCreateBasicX509();

    SecCertificateRef certArray[1] = { clientCert };
    CFArrayRef myCerts = CFArrayCreate(
                                   NULL, (void *)certArray,
                                   1, NULL);


    SecTrustRef myTrust;
    OSStatus status = SecTrustCreateWithCertificates(
                                                 myCerts,
                                                 myPolicy,
                                                 &myTrust);


    SecTrustResultType trustResult;
    if (status == noErr) {
        status = SecTrustEvaluate(myTrust, &trustResult);
    }

    NSLog(@"trustresult %d", trustResult);

    return trustResult == kSecTrustResultProceed || trustResult == kSecTrustResultUnspecified;
}
4

1 回答 1

1

您的代码根据钥匙串中存在的锚(可信根)证书评估您的 clientCert。如果您想根据您的 caCert 评估它,您需要使用 SecTrustSetAnchorCertificates 将您的 caCert 注册为锚证书。

或者,您可以将您的 caCert 添加到 certArray:

SecCertificateRef certArray[2] = { clientCert, caCert };
CFArrayRef myCerts = CFArrayCreate(
                               NULL, (void *)certArray,
                               2, NULL);


SecTrustRef myTrust;
OSStatus status = SecTrustCreateWithCertificates(
                                             myCerts,
                                             myPolicy,
                                             &myTrust);

查看:https ://developer.apple.com/library/ios/documentation/security/conceptual/CertKeyTrustProgGuide/iPhone_Tasks/iPhone_Tasks.html#//apple_ref/doc/uid/TP40001358-CH208-SW13

它说: 4. ... 如果您有证书链的中间证书或锚证书,您可以将这些证书包含在传递给 SecTrustCreateWithCertificates 函数的证书数组中。这样做可以加快信任评估。

于 2014-07-08T00:40:02.590 回答