个人中心
gpt4 book ai didi

ios - 检测 CA :TRUE in x509 Basic Contraints

转载 作者:行者123 更新时间:2023-11-29 11:16:32 26 4
gpt4 key购买 nike

检查证书基本约束的正确方法是什么?下面是我目前用来模仿钥匙串(keychain)中显示的图标的代码(下面的原因是虽然我们有一个

 SFChooseIdentityPanel * identityPanel = [SFChooseIdentityPanel sharedChooseIdentityPanel];

用于选择 CA 或主机/叶证书的等效项不存在。这在设置/锁定 SSL 连接时很有用。

不幸的是 - 我无法在头文件中找到 OID 字符串来从证书中干净地提取 CA:TRUE 或 false(或者我以错误的方式使用 API)。

所以问题是

  • 我如何清楚地检查 CA:TRUE - 虽然下面是有效的 - 我可以想象它会被格式错误的证书挫败,在正确的位置包含文本字符串。

  • 其次 - 我正在使用 Issuer==Subject 的启发式方法来检测自签名。有没有更简洁的方法来做到这一点?

  • 最后 - 通过反复试验 - 下面似乎模仿了 apple 她在钥匙串(keychain)中的选择 - 但文档相当难以理解。 kSecTrustResultProceed 是否真的意味着用户设置了覆盖和 kSecTrustResultUnspecified 实际上信任是由系统基本信任指定的?虽然它“有效”——但我不太明白文档的确切解释。

非常感谢。代码如下。

数据。

@implementation NSImage (CertificateSelectionPanelExtensions)

+(NSImage *)iconForCertificate:(SecCertificateRef)certificateRef small:(BOOL)isSmall
{
    BOOL isCA = FALSE, isInvalid = TRUE, isUserTrust = FALSE;

    NSString * issuer = nil, * subject = nil;

    const void *keys[] = { kSecOIDX509V1SubjectName, kSecOIDX509V1IssuerName, kSecOIDExtendedKeyUsage, kSecOIDBasicConstraints };
    CFArrayRef keySelection = CFArrayCreate(NULL, keys , sizeof(keys)/sizeof(keys[0]), &kCFTypeArrayCallBacks);
    CFDictionaryRef vals = SecCertificateCopyValues(certificateRef, keySelection, NULL);

    CFArrayRef values;
    CFDictionaryRef dict;

    dict = CFDictionaryGetValue(vals, kSecOIDBasicConstraints );
    values = dict ? CFDictionaryGetValue(dict, kSecPropertyKeyValue) : NULL;
    if (values) {
        for(int i = 0; i < CFArrayGetCount(values); i++) {
            CFDictionaryRef subDict = CFArrayGetValueAtIndex(values, i);

            // We cannot find OID defines for the CA - so rely on the lower libraries to give us a string
            // of sorts. Not a good idea - as now this code can be foiled by a actual string.
            //
            NSString *k = [NSString stringWithFormat:@"%@", CFDictionaryGetValue(subDict, kSecPropertyKeyLabel)];
            NSString *v = [NSString stringWithFormat:@"%@", CFDictionaryGetValue(subDict, kSecPropertyKeyValue)];
            if ([@"Certificate Authority" isEqualToString:k] && [@"Yes" isEqualToString:v]) {
                isCA = TRUE;
            }
        }
    };

    // Fall back on a simple self-sign check if there where no kSecOIDBasicConstraints.
    // set on the cert. Note that it is a DN is equal check - in some cases
    // doing a 509v3 Subject/Authority Key Identifier may be better ?? XXXX
    //
    if (!isCA && !values) {
        dict = CFDictionaryGetValue(vals, kSecOIDX509V1SubjectName);
        values = dict ? CFDictionaryGetValue(dict, kSecPropertyKeyValue) : NULL;
        subject = [NSString stringWithFormat:@"%@", values];

        dict = CFDictionaryGetValue(vals, kSecOIDX509V1IssuerName);
        values = dict ? CFDictionaryGetValue(dict, kSecPropertyKeyValue) : NULL;
        issuer = [NSString stringWithFormat:@"%@", values];

        // Crap way of secondgessing CA ness.
        if ([issuer isEqualToString:subject])
            isCA = TRUE;
    };

    SecPolicyRef policy = SecPolicyCreateBasicX509(); // SecPolicyCreateSSL(YES,nil);
    CFArrayRef chain = CFArrayCreate(NULL, (const void**)(&certificateRef), 1, NULL);

    SecTrustRef trustRef;    
    SecTrustCreateWithCertificates(chain, policy, &trustRef);

    SecTrustResultType result;
    SecTrustEvaluate (trustRef, &result);

    if(result == kSecTrustResultProceed) {
        isUserTrust = TRUE;
        isInvalid = FALSE;
    } else
    if (result == kSecTrustResultUnspecified)
        isInvalid = FALSE;

    CFRelease(trustRef);
    CFRelease(chain);

    // Images as per /System/Library/Frameworks/SecurityInterface.framework/Versions/A/Resources
    // Cert <Small | Large> <Personal | Root> [_Invalid | _UserTrust ]
    //
    return [NSImage imageNamed:[NSString stringWithFormat:@"Cert%@%@%@",
                                isSmall ? @"Small" : @"Large",
                                isCA ? @"Root" : @"Personal",
                                isInvalid ? @"_Invalid" : (isUserTrust ? @"_UserTrust" : @"")]];
}
@end

最佳答案

basicConstraints 扩展在 X.509 中定义如下:

basicConstraints EXTENSION ::= {
    SYNTAX BasicConstraintsSyntax
    IDENTIFIED BY id-ce-basicConstraints }
BasicConstraintsSyntax ::= SEQUENCE {
    cA BOOLEAN DEFAULT FALSE, 
    pathLenConstraint INTEGER (0..MAX) OPTIONAL }

这又根据可分辨编码规则 (X.690) 进行编码。 BasicConstraintsSyntax 序列的各个部分没有自己的 OID。

我不会声称自己是专家,但我认为您正在做的 cA 标志测试没有问题。请注意,我认为 [NSString stringWithFormat:@"%@", ...] 部分不是必需的。

至于检查自签名证书,测试主题和颁发者名称似乎不无道理;显然,这确实告诉您证书是否声称是自签名的,并且要实际测试它是您需要自己检查签名(无论您是否想这样做,我都不知道)不知道)。仅供引用,关于 key 标识符的主题,根据 RFC3280 ,在自签名证书的特定情况下,授权 key 标识符可以省略,因此没有授权 key 标识符的证书可能表明该证书是自签名的,但完全有可能有人故意发布没有授权 key 标识符的格式错误的证书。

最后一个问题似乎可以通过查看文档来解决,这表明这些值大致代表您所说的意思。

另一件值得一提的事情是,有一些代码可以帮助解决这类问题;例如,Jens Alfke 的 MYCrypto图书馆

编辑(2012 年 2 月 8 日)

根据X.509 Style Guidesubject 名称可能为空,在这种情况下,您需要查看 subjectAltName 扩展名。这不太可能破坏依赖于比较主题和颁发者名称的自签名证书的测试——向自己颁发证书并为颁发者名称提供 DN 但随后将主题名称留空似乎是不合理的。但是,值得牢记。

关于ios - 检测 CA :TRUE in x509 Basic Contraints,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9176389/

26 4 0
文章推荐: postgresql - 在 PostgreSQL 中存储不区分大小写的 varchar
文章推荐: sql - 使用正则表达式更新字段的 Postgresql 查询
文章推荐: PostgreSQL:pg_dump:[archiver (db)] 连接到数据库 "dbase"失败:致命:用户 "postgres"的对等身份验证失败
文章推荐: iphone - iOS:如何将不使用后台音频、Voip、GPS 的应用程序保留在后台?
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com