个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
25
4
这可能吗,如果可能的话如何?我正在使用需要客户端证书的协议(protocol),因此我想生成一次并将其存储在钥匙串(keychain)中以备将来使用。
我目前正在使用安全框架通过 SecKeyGeneratePair 生成 key 对,但是有什么方法可以将生成的公钥打包到 X.509 证书中并将其与私钥一起添加以创建新的 SecIdentity?我认为应该有一种方法,因为安全框架在 iOS 和 Mac 上应该是相同的,并且 Mac 上的钥匙串(keychain)访问可以生成自签名证书。
OpenSSL 是一个选项,但如果可能的话,我更愿意使用内置的安全框架。谢谢。
最佳答案
是的 - 它是(而且非常痛苦)。下面是我正在使用的代码。它使用在 SecKeyGeneratePair() 中生成的 key 进行签名(因此在钥匙串(keychain)/外部范围内)。
我破解这个的关键是发现 SecKeyRawSign只喜欢 SHA1。
如果您想从我手中拿走一些现有的正在运行的代码,请随时与我联系,清理它,添加文档,然后使用一个很好的 Apache 许可证将它放在 github 上供所有人使用。
(NSData *)signCSR:(NSData *)derCSR forDays:(double)days NIDstToKeep:(NSSet *)nidsToAllow
{
const unsigned char * ptr;
NSUInteger len;
// Gather the details for the CA cert (my cert) from
// OSX.
//
X509 * x509_mycert = NULL;
SecIdentityRef identityRef = [self secIdentityRef];
if (!identityRef)
return nil;
SecCertificateRef certificateRef = [self secCertificateRef];
if (!certificateRef)
return nil;
CFDataRef certAsDer = SecCertificateCopyData(certificateRef);
if (!certAsDer)
return nil;
// Jump over the fence to OpenSSL - and create
// an X509 version.
//
ptr = CFDataGetBytePtr(certAsDer);
len = CFDataGetLength(certAsDer);
if (!(d2i_X509(&x509_mycert, &ptr, len)))
return nil;
// And likewise for the CSR.
//
ptr = (const unsigned char *)[derCSR bytes];
len = [derCSR length];
X509_REQ *req = NULL;
if (!(d2i_X509_REQ(&req, &ptr, len)))
return nil;
// Copy the CSR into a an actual x509 tenative
// structure; i.e. the cert we'll issue signed.
//
X509 * x509_to_sign = X509_new();
assert(X509_set_subject_name(x509_to_sign,req->req_info->subject));
assert(X509_set_issuer_name(x509_to_sign, X509_get_subject_name(x509_mycert)));
EVP_PKEY * pubkey_csr = X509_REQ_get_pubkey(req);
X509_set_pubkey(x509_to_sign,pubkey_csr);
EVP_PKEY_free(pubkey_csr);
X509_gmtime_adj(X509_get_notBefore(x509_to_sign),0L);
X509_gmtime_adj(X509_get_notAfter(x509_to_sign),(long)floor(60*60*24*days));
if (nidsToAllow && [nidsToAllow count]) {
// Faily blindly copy all known extensions.
//
for(int i = X509_get_ext_count(x509_to_sign); i > 0; i--) {
X509_EXTENSION * ext = X509_get_ext(x509_to_sign,i-i);
int nid = OBJ_obj2nid(ext->object);
if ([nidsToAllow containsObject:[NSNumber numberWithInt:nid]]) {
// NSLog(@"Keeping %s at %d", OBJ_nid2sn(nid),i-i);
continue;
}
// NSLog(@"Killing %s at %d", OBJ_nid2sn(nid),i-1);
X509_delete_ext(x509_to_sign, i-i);
}
} else {
// wipe them all.
//
while (X509_get_ext_count(x509_to_sign) > 0) {
X509_delete_ext(x509_to_sign, 0);
}
};
// Set a random serial.
//
ASN1_INTEGER *bs = ASN1_INTEGER_new();
long rnd = 0;
if (!(RAND_bytes((unsigned char *)&rnd, sizeof(rnd))))
return nil;
rnd = labs(rnd);
ASN1_INTEGER_set(bs, rnd);
if (!((X509_set_serialNumber(x509_to_sign,bs))))
return nil;
ASN1_INTEGER_free(bs);
// Force v3
//
X509V3_CTX ctx2;
X509_set_version(x509_to_sign,2); /* version 3 certificate */
X509V3_set_ctx(&ctx2, x509_mycert, x509_to_sign, NULL, NULL, 0);
// Pull in additional x509v3 sections.
//
if (DBA) {
assert(X509V3_set_nconf(&ctx2, conf));
assert(X509V3_EXT_add_nconf(conf, &ctx2, section, x509_to_sign));
}
// Specify signature type.
//
x509_to_sign->cert_info->signature->algorithm = OBJ_nid2obj(NID_sha1WithRSAEncryption);
// Construct the ASN.1 blob which contains all the information
// we are going to sign.
//
const ASN1_ITEM * it = ASN1_ITEM_rptr(X509_CINF);
unsigned char *buf_in=NULL;
ASN1_VALUE * asn = (ASN1_VALUE *)(x509_to_sign->cert_info);
int inl = ASN1_item_i2d(asn,&buf_in, it);
// Small area to hold the signature on the SHA1 hash.
//
size_t sigLen = SecKeyGetBlockSize(privateKey);
uint8_t * sig = (uint8_t *)malloc(sigLen * sizeof(uint8_t));
memset((void*)sig, 0, sigLen);
#if TARGET_OS_IPHONE
// IPhone Way of doing it - where we need to construct the
// SHA1 of the 'to sign' area ourselves. As SecKeyRawSign
// does not seem to handly anything beyond a SHA1.
//
NSData * buffToSign = [NSData dataWithBytes:buf_in length:inl];
NSData * buffSha1ToSign = [buffToSign sha1];
size_t sigLenUsed = sigLen;
OSStatus status = SecKeyRawSign(privateKey, kSecPaddingPKCS1SHA1, [buffSha1ToSign bytes], [buffSha1ToSign length], sig, &sigLenUsed);
assert(status == noErr);
assert(sigLenUsed == sigLen);
#else
// MacOSX offical way of doing this - which seems to do the SHA1 fun,
// padding and games deeper down; and where we simply pass the blob.
//
CFErrorRef error = NULL;
SecTransformRef signer = SecSignTransformCreate(privateKey, &error);
if (error) { CFShow(error); assert(0); };
NSData * blockToSign = [NSData dataWithBytes:buf_in length:inl];
SecTransformSetAttribute(signer, kSecTransformInputAttributeName,
(__bridge CFTypeRef) blockToSign, &error);
if (error) { CFShow(error); assert(0); };
CFDataRef signature = SecTransformExecute(signer, &error);
if (error) { CFShow(error); assert(0); };
assert(sigLen == CFDataGetLength(signature));
bcopy(CFDataGetBytePtr(signature), sig, sigLen);
#endif
// Wrap up the rest of the block with the bits and bobs needed to
// create a valid ASN1 block to share as a PEM or DER. Which most
// crucially is about copying the just created signature into it.
//
x509_to_sign->sig_alg->algorithm = OBJ_nid2obj(NID_sha1WithRSAEncryption);
x509_to_sign->signature->data = sig;
x509_to_sign->signature->length = sigLen;
x509_to_sign->signature->flags&= ~(ASN1_STRING_FLAG_BITS_LEFT|0x07);
x509_to_sign->signature->flags|=ASN1_STRING_FLAG_BITS_LEFT;
unsigned char * derbuff = NULL;
int derlen = i2d_X509(x509_to_sign, &derbuff);
NSData * signedDer = [NSData dataWithBytes:derbuff length:derlen];
free(sig);
OPENSSL_free(x509_to_sign);
OPENSSL_free(x509_mycert);
return signedDer;
}
请注意,我删除了一些专有/非公开位 - 因此上面可能会遗漏一些 CFReleases() 和杂项。
关于ios - 使用 iOS Security.framework 生成自签名证书?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14072051/
25
4
0
IO 设备如何知道属于它的内存中的值在memory mapped IO 中发生了变化? ? 例如,假设内存地址 0 专用于保存 VGA 设备的背景颜色。当我们更改 memory[0] 中的值时,VGA
我目前正在开发一个使用Facebook sdk登录(通过FBLoginView)的iOS应用。 一切正常,除了那些拥有较旧版本的facebook的人。 当他们按下“使用Facebook登录”按钮时,他
假设我有: this - is an - example - with some - dashesNSRange将使用`rangeOfString:@“-”拾取“-”的第一个实例,但是如果我只想要最后
Card.io SDK提供以下详细信息: 卡号,有效期,月份,年份,CVV和邮政编码。 如何从此SDK获取国家名称。 - (void)userDidProvideCreditCardInfo:(Car
iOS 应用程序如何从网络服务下载图片并在安装过程中将它们安装到用户的 iOS 设备上?可能吗? 最佳答案 您无法控制应用在用户设备上的安装,因此无法在安装过程中下载其他数据。 只需在安装后首次启动应
我曾经开发过一款企业版 iOS 产品,我们公司曾将其出售给大型企业,供他们的员工使用。 该应用程序通过 AppStore 提供,企业用户获得了公司特定的配置文件(包含应用程序配置文件)以启用他们有权使
我正在尝试将 Card.io SDK 集成到我的 iOS 应用程序中。我想为 CardIO ui 做一个简单的本地化,如更改取消按钮标题或“在此保留信用卡”提示文本。 我在 github 上找到了这个
我正在使用 CardIOView 和 CardIOViewDelegate 类,没有可以设置为 YES 的 BOOL 来扫描 collectCardholderName。我可以看到它在 CardIOP
我有一个集成了通话工具包的 voip 应用程序。每次我从我的 voip 应用程序调用时,都会在 native 电话应用程序中创建一个新的最近通话记录。我在 voip 应用程序中也有自定义联系人(电话应
iOS 应用程序如何知道应用程序打开时屏幕上是否已经有键盘?应用程序运行后,它可以接收键盘显示/隐藏通知。但是,如果应用程序在分屏模式下作为辅助应用程序打开,而主应用程序已经显示键盘,则辅助应用程序不
我在模拟器中收到以下错误: ImageIO: CGImageReadSessionGetCachedImageBlockData *** CGImageReadSessionGetCachedIm
如 Apple 文档所示,可以通过 EAAccessory Framework 与经过认证的配件(由 Apple 认证)进行通信。但是我有点困惑,因为一些帖子告诉我它也可以通过 CoreBluetoo
尽管现在的调试器已经很不错了,但有时找出应用程序中正在发生的事情的最好方法仍然是古老的 NSLog。当您连接到计算机时,这样做很容易; Xcode 会帮助弹出日志查看器面板,然后就可以了。当您不在办公
在我的 iOS 应用程序中,我定义了一些兴趣点。其中一些有一个 Kontakt.io 信标的名称,它绑定(bind)到一个特定的 PoI(我的意思是通常贴在信标标签上的名称)。现在我想在附近发现信标,
我正在为警报提示创建一个 trigger.io 插件。尝试从警报提示返回数据。这是我的代码: // Prompt + (void)show_prompt:(ForgeTask*)task{
您好,我是 Apple iOS 的新手。我阅读并搜索了很多关于推送通知的文章,但我没有发现任何关于 APNS 从 io4 到 ios 6 的新更新的信息。任何人都可以向我提供 APNS 如何在 ios
UITabBar 的高度似乎在 iOS 7 和 8/9/10/11 之间发生了变化。我发布这个问题是为了让其他人轻松找到答案。 那么:在 iPhone 和 iPad 上的 iOS 8/9/10/11
我想我可以针对不同的 iOS 版本使用不同的 Storyboard。 由于 UI 的差异,我将创建下一个 Storyboard: Main_iPhone.storyboard Main_iPad.st
我正在写一些东西,我将使用设备的 iTunes 库中的一部分音轨来覆盖 2 个视频的组合,例如: AVMutableComposition* mixComposition = [[AVMutableC
我创建了一个简单的 iOS 程序,可以顺利编译并在 iPad 模拟器上运行良好。当我告诉 XCode 4 使用我连接的 iPad 设备时,无法编译相同的程序。问题似乎是当我尝试使用附加的 iPad 时
我是一名优秀的程序员,十分优秀!