如何从通过SCEP创建的iOS设备中删除证书/密钥

Question

作为测试SCEP服务器的一部分，我向我的iOS设备发送了大量SCEP请求，以创建RSA密钥对。

在注册过程中，一些CSR实际上已由SCEP服务器签名并返回到设备。

但是，我想从设备中删除旧的密钥/证书以重新开始，因为设备中的证书列表太长了(想象一下我经历了多少次尝试和错误步骤)。

问题是，其中一些证书没有显示在Settings/General/Profile下面。只有当我进入VPN条目并选择证书作为身份验证方法时，它们才会出现。

问题：

是否有办法要求iOS设备从其KeyChain中删除密钥/证书？

Answer 1

最后，我想出了两个选择：

1. 从Settings / General / reset /擦除所有内容和设置执行设备的完全重置。破坏性很强，但会给你一个干净的开始。在此之后进行还原也是不可能的，因为您将再次获得臃肿的密钥链DB。
2. 如果你有一个越狱装置，做一些脑外科手术！

在一个越狱设备上，人们可以使用Keychain应用程序(0.4版)来帮助进程。我就是这样做的：

1. 在iOS设备上安装密钥链查看器(本地下载.deb文件，传输到iOS设备，并执行dpkg -i keychainviewer0.4_beta.deb)
2. 在sqlite3设备上安装iOS (apt-get安装sqlite3)
3. 在iOS设备上打开Keychain应用程序；从证书列表中找到要删除的证书。
4. 注意项目的rowid。
5. 更改密钥链DB文件权限，使其可写：chmod u+r /private/var/Keychains/keychain-2.db
6. 在sqlite3设备上启动iOS命令行客户端：sqlite3 /private/var/Keychains/keychain-2.db

警告:下面的线条是破坏性的！

Keychains 备份整个目录。最好是备份一下你的整个设备，以防出问题。

在你自己的危险中前进！

1. DELETE FROM keys WHERE labl IN (SELECT DISTINCT(labl) FROM cert WHERE rowid=_row_id_you_want_);
2. DELETE FROM cert WHERE rowid=_row_id_you_want_;

另一个版本是基于要删除的证书的颁发者。在这种情况下，您将执行以下操作：

1. 在Keychain中，再次找到要删除的证书的rowid。
2. 以下命令都是用sqlite3编写的：
3. SELECT quote(issr) FROM cert WHERE rowid=_row_id_you_want_;
4. 这将给您提供如下内容：X'F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0'，这是发行人名二进制blob存储在Keychain中的十六进制符号(我认为这是加密的形式)。
5. DELETE FROM keys WHERE labl in (SELECT DISTINCT(labl) FROM cert WHERE issr=X'F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0');
6. DELETE FROM cert WHERE issr=X'F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0F0');

Answer 2

首先，这是一个有趣的问题。

我认为唯一的办法是擦除(擦除所有设置)。我不知道任何API、配置概要文件或MDM命令可以具体做到这一点。

我相信，这是iOS的错误。当适当的配置配置文件被删除时，应该删除客户端证书。所以，你应该把它发出来。

Answer 3

您是如何向iOS设备发送SCEP请求的？我很好奇。

通常，设备上的某些内容会发出SCEP请求并接收证书。

您所看到的项目很可能在密钥链中。在这种情况下，只有添加它们的应用程序才能删除它们。如果这是一个场景，下面是一个有用的链接：http://useyourloaf.com/blog/2010/03/29/simple-iphone-keychain-access.html