个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
25
4
我目前正在尝试实现一种本地收据验证形式,详见 apple's developer portal :
但是我遇到了障碍。我相信收据中的证书没有正确验证苹果根 CA。
87937:error:04077068:rsa routines:RSA_verify:bad signature:rsa_sign.c:263:87937:error:0D0C5006:asn1 encoding routines:ASN1_item_verify:EVP lib:a_verify.c:179:87937:error:21075075:PKCS7 routines:PKCS7_verify:certificate verify error:pk7_smime.c:244:Verify error:certificate signature failure
运行 gdb 显示失败发生在这里:
(gdb) bt
#0 RSA_verify (dtype=64, m=0xbfffe1b4 "", m_len=20, sigbuf=0x37af90 "", siglen=256, rsa=0x37ca80) at rsa_sign.c:263
#1 0x0013e6fa in EVP_VerifyFinal (ctx=0xbfffe2b0, sigbuf=0x37af90 "", siglen=256, pkey=0x37ca60) at p_verify.c:107
#2 0x00152b38 in ASN1_item_verify (it=0x20b118, a=0x37a5b0, signature=0x37a5c0, asn=0x37a460, pkey=0x37ca60) at a_verify.c:176
#3 0x0018e73c in X509_verify (a=0x37a400, r=0x37ca60) at x_all.c:76
#4 0x001866ef in internal_verify (ctx=0xbffff5a8) at x509_vfy.c:998
#5 0x00185ad9 in X509_verify_cert (ctx=0xbffff5a8) at x509_vfy.c:305
#6 0x001b4f1d in PKCS7_verify (p7=0x3792c0, certs=0x0, store=0x379160, indata=0x0, out=0x379260, flags=0) at pk7_smime.c:240
#7 0x00001dd6 in main () at pkcs7_decrypt.c:42Current language: auto; currently minimal(gdb)
无法根据中间证书“/C=US/O=Apple Inc./OU=Apple Worldwide Developer Relations/CN=Apple Worldwide Developer Relations Certification Authority”验证根 CA 的公钥。
直接针对中间证书运行 openssl verify 会产生类似的结果,尽管我可能没有正确执行此操作:
bbooth@Bills-MacBook-Air:forge$ openssl verify -verbose -CAfile apple.pem devrel.pem
devrel.pem: /C=US/O=Apple Inc./OU=Apple Worldwide Developer Relations/CN=Apple Worldwide Developer Relations Certification Authority
error 7 at 0 depth lookup:certificate signature failure
88161:error:04077068:rsa routines:RSA_verify:bad signature:/SourceCache/OpenSSL098/OpenSSL098-47.2/src/crypto/rsa/rsa_sign.c:263:
88161:error:0D0C5006:asn1 encoding routines:ASN1_item_verify:EVP lib:/SourceCache/OpenSSL098/OpenSSL098-47.2/src/crypto/asn1/a_verify.c:179:
bbooth@Bills-MacBook-Air:forge$
这是我在 OSX 中运行的代码:
fp = fopen("AppleIncRootCertificate.cer", "rb");
fread(buf, sizeof(buf), 1, fp);
b_x509 = BIO_new_mem_buf(buf, 1215);
Apple = d2i_X509_bio(b_x509, NULL);
fclose(fp);
X509_STORE *store = X509_STORE_new();
X509_STORE_add_cert(store, Apple);
bio = BIO_new_file("receipt.cer", "r");
p7 = d2i_PKCS7_bio(bio, NULL);
BIO_free(bio);
ERR_print_errors_fp(stdout);
bio = BIO_new_file("receipt.dec", "w");
PKCS7_verify(p7, NULL, store, NULL, bio, 0);
随意看the receipt .我必须承认,我是这个问题涉及的几乎所有系统的新手,我们将不胜感激任何和所有建议!
最佳答案
所以解决方案很简单,收据以某种方式损坏(尽管能够解析它)。将此收据发送到应用商店收据验证程序会产生收据数据格式错误。
我重试了收据上的代码,在苹果服务器上验证没有错误,它工作正常。
关于IOS 应用内购买收据 AppleInc 根 CA 验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25152705/
25
4
0
我正在尝试在 Java 中执行此操作,但我认为这是一个一般证书问题。我有一个根CA,一个由根CA颁发的中间CA1,一个由中间CA1颁发的中间CA2,以及一个由中间CA2颁发的证书。 rootCA ->
编辑 1:https://security.stackexchange.com/questions/83972/trust-ca-and-parent-ca-but-not-other-derivat
我正在使用“任何?” block 中的方法。该片段正在字符串中查找字符串“CA”(拆分)检查: region="CA" check="AU,US,UK,CA,ZA" if check.split(',
我有一个SpringBoot应用程序,它使用以下配置与PostgreSQL通信,通过AWS Beanstrik部署:。在我将AWS Aurora证书更新为rds-ca-ecc384-g1之前,一切都很
我们正在使用我们现有的 CA 进行 freeipa 安装。在安装过程中,会生成 CSR,并且必须由 CA 签名才能创建证书。这个证书必须有 X509v3 Basic Constraints: CA:T
我正在尝试导出客户端证书以供网络浏览器使用。 目标是使用 指令限制对管理区域的访问。我看过很多关于使用自签名 CA 的教程。你会如何使用第三方来做到这一点? 1) 如果它是受信任的根 CA,我是否需要
我已经设法弄清楚 x509Certificate2Collection 中的证书是否是证书颁发机构证书,但我如何才能安全地确定它是根证书还是中间证书?以下是否足够安全? var collection
我使用 fabric-ca-sdk(fabric-sdk-java/fabric-sdk-java/src/test/fixture/sdkintegration) 中的测试代码启动 ca 服务器。并
环境: Red Hat Enterprise Linux Server release 7.7 (Maipo) # openssl version OpenSSL 1.0.2g 1 Mar 2016
导出 K8s 集群 CA 证书和 CA 私钥 团队,我有一个 Kubernetes 集群正在运行。我将一次又一次地删除和创建它,所以我想一直重复使用相同的 CA 证书,我需要保存 CA 证书和 key
我正在编写一个自定义客户端和服务器,我想通过公共(public) Internet 安全地进行通信,因此我想使用 OpenSSL 并让两端进行对等验证以确保我的客户端不会被 MITM 误导,同样,未经
问题: 我想构建一个 docker 容器 FROM:ubuntu:20.04但我无法访问外部互联网 我在内部网络上有一个 apt 镜像,可以使用 apt 镜像位于 https 后面,带有自定义证书 我
Linux 的新手,正在尝试了解更多,我遇到了这种情况。 我已经尝试使用 ps 命令并使用 grep 来捕获“ca”,但它会返回每次出现的“ca”,无论它来自什么,它实际上对我没有帮助。 我已经尝试过
我正在尝试在我的 .NET 应用程序和我安装了第三方根 CA 证书和中间 CA 证书的网站之间建立 TLS 连接: ServicePointManager.SecurityProtocol = Sec
SSL 证书永远不会让我眼花缭乱。我有一个网络应用程序,它从合作伙伴那里对另一项服务进行休息调用以获取某些数据。他们使用为公司生成的自签名或内部 CA。问题是每当另一端更新 SSL 证书时,我的应用程
我正在开发一个带有证书固定的移动应用程序。我将在 DMZ 中有一个盒子来代理我的请求。该服务器是否应该拥有来自可信 CA 的证书,还是我可以使用我自己的 CA 生成的证书? 从移动客户端使用受信任的
有没有人设法将 CA 证书安装到 activemq 实例中?我一直在进行谷歌搜索并阅读 activemq 文档,但我没有找到任何关于如何在 activemq 中使用预先存在的 CA 证书的信息。 我假
openssl ca 和 openssl x509 命令有什么区别?我正在使用它来创建和签署我的 root-ca、intermed-ca 和客户端证书,但是 openssl ca 命令不会在证书上注册
在 keystore 中创建私钥和自签名证书 keytool -genkey -alias mydomain -keystore mydomain.ks -dname cn=mydomain.com
我的 Raspberry Pi 3 出了点问题。我不得不运行 fsck.ext3,但是很多包都损坏了,例如 python 等。现在,ca-certificates 不会重新安装。每当它运行 updat
我是一名优秀的程序员,十分优秀!