我们如何告诉 CFStream 使用一组锚证书？

Question

我知道我们可以使用 SecTrustSetAnchorCertificates() 给定 SecTrustRef。但使用CFStreams，我们只有在握手后才能获得信任对象。一种解决方法似乎是使用 kCFStreamSSLValidatesCertificateChain 属性禁用 CFStream 上的证书链验证，然后使用 kCFStreamPropertySSLPeerCertificates 获取对等证书，从这些证书创建信任并自行评估信任。

但如果我们可以告诉 CFStream 使用一组证书作为锚点，那么事情会干净很多。我是不是希望太多了？

Answer 1

Apple Devforums 的 eskimo1 如此回答：

首先，使用 kCFStreamSSLValidatesCertificateChain 禁用自动信任评估。

其次，一旦流启动并运行（我通常在“可以接受字节”或“有可用字节”消息处理中执行此操作），使用 kCFStreamPropertySSLPeerTrust 从流中获取 SecTrust 对象并自行评估该信任。如果信任评估失败，则拆除该流。