如何从IOS系统密钥链中读取证书，实现SAP fiori客户端的双向认证

Question

我们正在实施为IOS设备开发自定义fiori客户端(SAP)的场景。应用程序最初调用F5反向代理服务器进行相互身份验证。在这里，应用程序(本机)必须从设备的系统密钥链读取用户证书，并将其提供给F5服务器进行身份验证。

用户证书将作为设备中Microsoft Intune注册的一部分进行安装。因此，我们在这里使用的MDM是Microsoft Intune。根据SAP提供的解决方案，在构建fiori客户端时，p12文件必须包含在X-code项目的资源文件夹中，而由于客户端的安全策略，这是不可能的。因此，它必须在用户启动应用程序时动态读取，并将其提供给代理服务器进行进一步身份验证。

有没有人可以通过IOS编码或任何其他方式提供一个可行的解决方案，以达到目前的要求。

提前感谢……

Answer 1

以下是可用于向ios fiori应用程序提供客户端证书的一些选项

1. SAP证书提供程序。设备需要使用SAP作为MDM
2. SAP安全证书提供商。Using a Third-Party Certificate Provider

Answer 2

在这个博客Appendix F: Using OAuth with Kapsel中，有一个部分演示了一个应用程序将证书加载到其密钥链中，然后第二个应用程序共享第一个应用程序的密钥链，以便它可以访问证书。

还有一个概念是编写本机代码来实现一个接口，当登录插件需要证书时，它将使用该接口进行调用。这在Using the X.509 Certificate Provider Interface to Integrate with Third-Party Certificate Providers和SAP Mobile SDK 中有进一步的描述

Answer 3

使用base64字符串，并使用参数、InTune或URL将其导入。MDM参数是未加密的，因此我建议使用链接。您可以通过加密它来增加额外的安全性，这会将其转换为字符串。导入时，只需考虑加密之前和加密后的证书均为base64。