我有一個iOS應用程序,它使用證書進行數字簽名算法(DSA)後的消息傳遞簽名。爲了執行此簽名,應用程序需要證書以及與證書關聯的私鑰。而且,我無法在應用程序中嵌入證書,因爲我的客戶需要能夠生成和分發自己的證書,以供應用程序在需要時使用。 (並且,嵌入證書無論如何都會構成安全風險。)將證書和私鑰分發給iOS設備
有沒有人對我如何去分發證書和私鑰有任何想法?
PS。我們在BlackBerry上執行相同的操作,並在那裏使用BlackBerry設備上的BlackBerry Enterprise Server和API將證書推送到組織中的設備。我希望有一個適用於iOS的MDM解決方案,但尚未能找到任何東西。
感謝很多
你問:
有沒有人對我怎麼可能去分發證書和私鑰有什麼想法?
對不起,我對您的具體情況不夠了解,無法確切地告訴您如何滿足您的要求,但我可以告訴他們這並不是通常的做法。相反,通常在設備上生成公鑰/私鑰對,然後將公鑰(僅)與附加數據(例如,在證書籤名請求中,CSR)一起提交給服務器(證書頒發機構,CA)生成證書並將其返回給請求者(並可能將其發佈到目錄中)。
此方法的一個重要安全益處是沒有第三方可以訪問私鑰(CA需要公鑰而不需要私鑰)。這是non-repudiation(所以設備所有者不能要求有人從中央服務器獲得他的私鑰)所需的。
在iOS上,沒有直接的方式來分發證書,它是私鑰到應用程序。 Apple建議使用PKCS12並在本文檔中提供一些指導:Technical Q&A QA1745: Making Certificates and Keys Available To Your App。
謝謝。我很感激你的意見 - 但在這種情況下,我們必須分發證書和私鑰,而不是讓它們在設備上生成。 – ShaunB
如何在設備上創建私鑰? – wprater