OpenSSL与苹果钥匙链的集成

Question

我们使用的是一个可以在Windows和Mac上运行的多平台应用程序。我们的应用程序是基于OpenSSL作为安全套接字层和相关材料的供应商。它使用客户端证书来建立安全连接并识别最终用户。

我们希望使用Windows和Mac本机证书存储来确保最大的安全性。Openssl有一个与Windows的证书存储库(CAPI引擎)交互的引擎。然而，我们没有设法为Mac的Keychain找到这样的解决方案。

OpenSSL和苹果的钥匙链之间有集成吗？

如果没有，你的建议是什么？

Answer 1

除了处理客户端证书之外，您还需要验证服务器证书。

为此，必须为OpenSSL提供一个回调，该回调使用Mac安全框架来验证服务器证书。使用OpenSSL函数SSL_CTX_set_cert_verify_callback设置您的自定义证书验证回调。您的回调必须将OpenSSL证书转换为SecCertificateRef，为SSL连接创建SecPolicyRef，创建SecTrustRef并对其进行评估。有关更多详细信息，请参阅Certificate, Key, and Trust Services Reference。

Answer 2

我认为“最简单”的解决方案是为CSSM ( CDSA的API，security architecture used by Mac OS X)编写一个OpenSSL引擎。您应该在openssl-dev邮件列表上询问是否有人有兴趣提供帮助(而且可能已经开始了)。