访问苹果的根证书在iOS

Question

我发现下面的代码：https://github.com/roddi/ValidateStoreReceipt/blob/master/validatereceipt.m这在MacOS

加载根证书（“苹果根CA”），我试图使它在iOS上正常工作。

我们的代码是用C++编写的，使用OpenSSL在使用SSL套接字时验证远程对等体。

在其他平台上，我们加载根证书并使用X509_STORE_add_cert将它们添加到上下文中。

然后我们使用SSL_get_peer_certificate并验证主机名。这些不是自签名证书，这就是我们为什么要使用设备的根证书的原因。

我的问题是如何获得iOS设备上的根证书？

编辑：

我试过下面的查询，但我不断收到-25300（errSecItemNotFound）。

NSDictionary* query=[NSDictionary dictionaryWithObjectsAndKeys: 
        (__bridge id)kSecClassCertificate,kSecClass, 
        kCFBooleanTrue,kSecReturnRef, 
        kSecMatchLimitAll,kSecMatchLimit, 
        kCFBooleanTrue,kSecMatchTrustedOnly, 
        nil]; 
SecItemCopyMatching((__bridge CFDictionaryRef)query,&ref); 

Answer 1

你会想要的东西沿着这些线路：

• 与kSecMatchTrustedOnly组查找使用SecItemCopyMatching()的证书kCFBooleanTrue。记住，这将是a lot of certificates，而不只是一个。
• 然后使用SecCertificateCopyData()将它们导出为DER格式。
• 将其导入到OpenSSL的
• 利润

或者，你可以走另外一条道路：

• 转换证书使用OpenSSL为DER
• 创建SecCertificateRef与SecCertificateCreateWithData()
• 创建a SecPolicyRef与SecPolicyCreateSSL()
• 创建SecTrustRef与SecTrustCreateWithCertificates()
• 与SecTrustEvaluate()
• 利润

或者当然你也可以管理与NSURLConnection或CFNetwork SSL连接（可直接在C++），该系统将尽一切评估为你自动。只要有可能，我建议不要在iOS上使用OpenSSL，因为它会产生很多复杂性。但是，如果需要，上面的内容应该可以帮助你弥合。

Answer 2

有几种分发证书的方法。使用电子邮件 - 发送证书作为附件，点击它将开始安装过程。或者使用浏览器 - 将Safari导航到承载证书的页面，下载并安装。您还可以使用配置配置文件来简化部署。

阅读更多关于iPad in Business的信息，向下滚动至Distributing and Installing Certificates部分。

编辑：证书查询

要找到可以使用SecItemCopyMatching提供kSecClassCertificate和kSecAttrLabel一个钥匙串项目。结帐Finding a Certificate In the Keychain在Certificate, Key, and Trust Services Tasks for iOS

Answer 3

如果钥匙串解决方案不起作用，另一种解决方案是从苹果公司下载“苹果公司根证书”根证书https://www.apple.com/certificateauthority/，并将其存储在本地应用程序包中。在此Receipt Validation objc.io article和收据验证解决方案中建议采用此方法，如RMStore https://github.com/robotmedia/RMStore。