在应用程序密钥链中存储证书链

Question

在iOS上，我知道我们可以使用SecTrustEvaluate()评估信任。要创建信任，我们要么从*.p12文件导入信任，要么使用证书数组和一组策略创建信任。

我还知道，为了确保默认情况下不受信任的服务器是可信的，我们可以使用SecTrustSetAnchorCertificates()来增加用于验证服务器证书的根can ()的列表。

现在，如何确保这些锚证书在后续启动时可用？我可以在应用程序密钥链中存储证书、密钥和标识，但不能存储证书链。即使我将所有证书存储在链中，我如何知道哪些证书将用作锚证书？

想到的一个解决方案就是从密钥链中获取所有证书，并将它们设置为锚证书。另一种方法可以是将磁盘上的所有证书链作为*.p12文件，并在每次应用程序运行时加载它们一次。

Answer 1

苹果发展论坛的eskimo1是这样回答的：

首先，您不需要将证书存储在密钥链中。如果您愿意，可以将它们存储在其他地方(并使用SecCertificateRef创建SecCertificateCreateWithData)。

其次，您的问题涉及.p12文件，但我不知道这与事情有什么关系。通常，您只使用.p12文件来分发机密信息，并且证书不是机密的。

最后，您可以通过仅存储对该链中每个证书的持久引用(或通过存储每个证书的实际数据)来存储证书链。