安装APNS的根证书

Question

我们收到苹果公司关于CA证书的通知，旧的GeoTrust全球CA根证书将被AAACertificateServices 5/12/2020所取代。我正在检查我的App设置，但是我没有找到任何配置根证书的方法，所以我想Google应该管理这些证书。我说的对吗？

“2021年3月29日，与苹果推送通知服务的基于令牌和证书的HTTP/2连接必须包含新的根证书(AAACertificateServices 5/12/2020)，以取代旧的GeoTrust全球CA根证书。为了确保无缝转换并避免推送通知传递失败，请在3月29日前验证HTTP/2接口的新旧根证书是否包含在每个通知服务器的信任存储中。如果提供程序服务器运行macOS，默认情况下，GeoTrust全局CA根证书位于密钥链中。如果提供程序服务器运行macOS 10.14或更高版本，则AAA证书服务根证书默认位于密钥链中。在其他系统上，您可能需要自己安装此证书。您可以从GeoTrust根证书网站下载GeoTrust全局CA根证书。您可以从Sectigo KnowledgeBase网站下载“KnowledgeBase 5/12/2020”证书。

最亲切的问候

Answer 1

我的理解是，Google管理根证书，除非您的应用程序引擎应用程序正在使用自定义域(即不在*.appspot.com上服务)，而且您没有在这个自定义域使用Google管理的证书。

不过，我仍然希望能够正式检查一下，在过渡期间，事情是否会顺利进行，但我没有找到如何做到这一点。查看*.appspot.com的根证书显示的是一个全局签名根证书，而不是苹果的APN服务器目前所依赖的遗留GeoTrust证书。但是，由于*.appspot.com目前正与苹果的APN服务器正常连接，我想在证书颁发机构之间存在交叉签名或相互承认的问题，这在这里起着一定的作用。

我也希望苹果的沙箱APN服务器比生产更早的过渡，让开发人员首先看到他们的测试环境失败，但我还没有看到苹果在这方面传达任何细节。

总的来说，我并不担心，因为我知道这是苹果最终迁移到一个得到广泛认可的根证书，而当前的一个已经被许多组织认为是不安全的。这也意味着我们很幸运，APN与APNs的连接一直运行良好，直到今天(希望它能持续到3月底！)