macos - 完全な証明書チェーンがセキュアトランスポートピアに確実に提供されるようにする

翻译自：https://stackoverflow.com/questions/27546852 2014-12-18T12:41:29.240

272 次

0

Apple の Secure Transport API は関数を定義しておりSSLSetCertificate、そのcertRefsパラメータは証明書の配列です。ドキュメントには次のように記載されています（強調を追加）：

リーフ証明書とそれに対応する秘密鍵を識別するオブジェクトに配置certRefs[0]する必要があります。SecIdentityRefルート証明書の指定はオプションです。指定されていない場合は、ここで指定された証明書チェーンを検証するルート証明書が、トラストアンカー証明書のシステム全体のセットに存在する必要があります。

「ルート証明書が存在する必要があります」と書かれていますが、そのように見つかった信頼チェーンが実際に SSL ピアに提供されるかどうかは明らかではありません(ただし、その要件が存在する他の理由を考えるのは困難です)。

完全な証明書チェーン(自己署名ルート、またはシステムトラストアンカーに戻る) がピアに提供されるようにするにはどうすればよいでしょうか?
特に、すべての構成証明書をこのパラメーターに含める必要がありcertRefsますか (または関係がありませんか)?

_{バックグラウンド}

^{この質問は、 ServerFault に関する以前の投稿に続きます。RTFS を使用することで、slapdがホストの ID 証明書のみを使用して呼び出し、セキュアトランスポートに証明書チェーンを提供しようとする段階がないことは明らかです。これが問題の原因である可能性があります。SSLSetCertificate}

1 に答える 1

0

さて、私は苦労して次のことlibsecurity_sslを信じています：

SSLSetCertificateとりわけ、コンテキストは…へlocalCertの呼び出しで設定されます
parseIncomingCerts（その変数へのポインタを受け取り、）その値をリンクリストに設定します。コメントではこのリストを「証明書チェーン」と呼んでいますが、実際には、ローカル変数には名前が付けられcertChain、コメントではその信頼セマンティクスが説明されていますが、実際には配列から素朴に作成されているだけです。 特に、反対のコメントにもかかわらず、信頼チェーンはチェックも検証もされていません。
徹底的に検索しても、証明書チェーンをピアに送信する前に、セキュアトランスポートが証明書チェーンに対してさらに作業を行っている場所を見つけることができません。これは、質問の引用が実際には間違っていることを示唆しています。不足しているルート証明書は、 (現在) システムのトラストアンカーの中にある必要はありません。

私は結論する：

完全な証明書チェーン(自己署名ルート、またはシステムトラストアンカーに戻る) がピアに提供されるようにするにはどうすればよいでしょうか?

に渡しSSLSetCertificateます。
特に、すべての構成証明書をこのパラメーターに含める必要がありcertRefsますか (または関係がありませんか)?

ドキュメントとコードコメントから、Apple の意図は将来的にこれを変更することであると思われますが、当分の間は…そうする必要があります。

于 2014-12-18T14:10:58.000 に答える