Интеграция OpenSSL и Apple Keychain

Question

Мы используем мультиплатформенное приложение, которое должно работать как на Windows, так и на Mac. Наше приложение основано на OpenSSL в качестве поставщика SSL и сопутствующих материалов. Он использует сертификат клиента для установления защищенных соединений и идентификации конечного пользователя.

Мы хотим использовать собственные хранилища сертификатов Windows и Mac для обеспечения максимальной безопасности. Openssl имеет механизм взаимодействия с хранилищем сертификатов Windows (механизм CAPI). Однако нам не удалось найти такое решение для связки ключей Mac.

Есть ли интеграция между OpenSSL и цепочкой для ключей Apple?

Если нет, то что вы предлагаете?

Answer 1

Я думаю, что самым «простым» решением было бы написать движок OpenSSL для CSSM (API для CDSA, архитектура безопасности, используемая в Mac OS X ).Вы должны спросить в списке рассылки openssl-dev, заинтересован ли кто-нибудь в помощи (и, возможно, уже начал).

Answer 2

Помимо обработки сертификата клиента, вам также необходимо проверить сертификат сервера.

Для этого вам потребуется предоставить OpenSSL обратный вызов, который использует платформу безопасности Mac OS X для проверкисертификат сервера.Используйте функцию OpenSSL SSL_CTX_set_cert_verify_callback, чтобы установить обратный вызов для проверки сертификата.Ваш обратный вызов должен преобразовать сертификаты OpenSSL в SecCertificateRef, создать SecPolicyRef для SSL-соединений, создать SecTrustRef и оценить его.См. Справочник по сертификатам, ключам и трастовым службам для получения более подробной информации.