訪問蘋果的根證書在iOS

Question

我發現下面的代碼：https://github.com/roddi/ValidateStoreReceipt/blob/master/validatereceipt.m這在MacOS

加載根證書（「蘋果根CA」），我試圖使它在iOS上正常工作。

我們的代碼是用C++編寫的，使用OpenSSL在使用SSL套接字時驗證遠程對等體。

在其他平臺上，我們加載根證書並使用X509_STORE_add_cert將它們添加到上下文中。

然後我們使用SSL_get_peer_certificate並驗證主機名。這些不是自簽名證書，這就是我們爲什麼要使用設備的根證書的原因。

我的問題是如何獲得iOS設備上的根證書？

編輯：

我試過下面的查詢，但我不斷收到-25300（errSecItemNotFound）。

NSDictionary* query=[NSDictionary dictionaryWithObjectsAndKeys: 
        (__bridge id)kSecClassCertificate,kSecClass, 
        kCFBooleanTrue,kSecReturnRef, 
        kSecMatchLimitAll,kSecMatchLimit, 
        kCFBooleanTrue,kSecMatchTrustedOnly, 
        nil]; 
SecItemCopyMatching((__bridge CFDictionaryRef)query,&ref); 

Answer 1

你會想要的東西沿着這些線路：

• 與kSecMatchTrustedOnly組查找使用SecItemCopyMatching()的證書kCFBooleanTrue。記住，這將是a lot of certificates，而不只是一個。
• 然後使用SecCertificateCopyData()將它們導出爲DER格式。
• 將其導入到OpenSSL的
• 利潤

或者，你可以走另外一條道路：

• 轉換證書使用OpenSSL爲DER
• 創建SecCertificateRef與SecCertificateCreateWithData()
• 創建a SecPolicyRef與SecPolicyCreateSSL()
• 創建SecTrustRef與SecTrustCreateWithCertificates()
• 與SecTrustEvaluate()
• 利潤

或者當然你也可以管理與NSURLConnection或CFNetwork SSL連接（可直接在C++），該系統將盡一切評估爲你自動。只要有可能，我建議不要在iOS上使用OpenSSL，因爲它會產生很多複雜性。但是，如果需要，上面的內容應該可以幫助你彌合。

Answer 2

有幾種分發證書的方法。使用電子郵件 - 發送證書作爲附件，點擊它將開始安裝過程。或者使用瀏覽器 - 將Safari導航到承載證書的頁面，下載並安裝。您還可以使用配置配置文件來簡化部署。

閱讀更多關於iPad in Business的信息，向下滾動至Distributing and Installing Certificates部分。

編輯：證書查詢

要找到可以使用SecItemCopyMatching提供kSecClassCertificate和kSecAttrLabel一個鑰匙串項目。結帳Finding a Certificate In the Keychain在Certificate, Key, and Trust Services Tasks for iOS

Answer 3

如果鑰匙串解決方案不起作用，另一種解決方案是從蘋果公司下載「蘋果公司根證書」根證書https://www.apple.com/certificateauthority/，並將其存儲在本地應用程序包中。在此Receipt Validation objc.io article和收據驗證解決方案中建議採用此方法，如RMStore https://github.com/robotmedia/RMStore。