OpenSSL và Apple Keychain tích hợp

Question

Chúng tôi đang sử dụng một ứng dụng đa nền tảng sẽ chạy trên cả Windows và Mac. Ứng dụng của chúng tôi dựa trên OpenSSL với tư cách là nhà cung cấp SSL và công cụ liên quan. Nó sử dụng Chứng chỉ ứng dụng khách để thiết lập các kết nối an toàn và để xác định người dùng cuối.

Chúng tôi muốn sử dụng kho lưu trữ chứng chỉ gốc Windows và Mac để đảm bảo an toàn tối đa. Openssl có một công cụ để tương tác với Windows Certificate Store (CAPI engine). Tuy nhiên, chúng tôi không tìm được giải pháp cho Keychain của Mac.

Có tích hợp giữa OpenSSL và Keychain của Apple không?

Nếu không, đề xuất của bạn là gì?

Answer 1

Ngoài việc xử lý chứng chỉ ứng dụng khách, bạn cũng sẽ cần xác minh chứng chỉ máy chủ.

Để làm như vậy, bạn sẽ phải cung cấp OpenSSL với cuộc gọi lại sử dụng khung bảo mật Mac OS X để xác thực chứng chỉ máy chủ. Sử dụng hàm OpenSSL SSL_CTX_set_cert_verify_callback để đặt gọi lại xác thực chứng chỉ tùy chỉnh của bạn. Cuộc gọi lại của bạn phải chuyển đổi chứng chỉ OpenSSL thành SecCertificateRef, tạo một SecPolicyRef cho kết nối SSL, tạo một SecTrustRef và đánh giá nó. Xem Certificate, Key, and Trust Services Reference để biết thêm chi tiết.

Answer 2

Tôi nghĩ giải pháp "đơn giản nhất" là viết một công cụ OpenSSL cho CSSM (API cho CDSA, security architecture used by Mac OS X). Bạn nên hỏi về danh sách gửi thư openssl-dev nếu có ai quan tâm đến việc giúp đỡ (và có thể đã bắt đầu).