objective-c - 添加对导入到 OS X 上钥匙串(keychain)的 X509 CA 证书的信任

Question

最近我编写了一小段代码，从 SCEP 服务器获取 CA 证书，将其转换为 SecCertificateRef 并将其添加到钥匙串(keychain)(系统或登录)。现在我想知道如何让系统信任该证书。我一直在尝试信任策略，但还没有太多运气。

除此之外，我了解系统可能不允许您在没有用户交互的情况下自动信任证书。如果是这样的话，你如何开始互动呢？使用“SecCertificateAddToKeychain”将证书静默放入钥匙串(keychain)中。

旁注:我也尝试使用此代码支持 10.5。

感谢您的帮助!

编辑:在研究了 Citrix 页面上的代码后，我想出了自己的函数。从我从 Citix 页面收集到的信息来看，这种方法具有破坏性。因此，如果证书已经在钥匙串(keychain)中并且已经有策略(iChat 等)，这将覆盖这些策略。由于我在项目中不关心这一点，因此这是我想出的一个更简单的版本。

-(OSStatus) addCertificate: (CertificateWrapper *) cert trust:(BOOL) shouldTrust {
    //keychain is a SecKeychainRef created with SecKeychainOpen
    OSStatus result = SecCertificateAddToKeychain([cert certificate], keychain);
    if((result == noErr || result == errKCDuplicateItem) && shouldTrust){

        SecTrustSettingsDomain domains[3] = { kSecTrustSettingsDomainSystem, kSecTrustSettingsDomainAdmin, kSecTrustSettingsDomainUser};

        for(int i = 0; i < 3; i++){

            CFMutableArrayRef trustSettingMutArray = NULL;

            trustSettingMutArray = CFArrayCreateMutable (NULL, 0, &kCFTypeArrayCallBacks);

            result = SecTrustSettingsSetTrustSettings([cert certificate], domains[i], trustSettingMutArray );

            if(result == noErr){
                break;
            }
        }
    }
    return result;
}

Answer 1

Citrix web site 上有一个很好的示例说明如何执行此操作带有大量示例代码。