OpenSSL 和 Apple 钥匙串集成

Question

我们使用的多平台应用程序应在 Windows 和 Mac 上运行。我们的应用程序基于 OpenSSL 作为 SSL 和相关内容的供应商。它使用客户端证书建立安全连接并识别最终用户。

我们希望使用 Windows 和 Mac 本机证书存储来确保最大的安全性。 Openssl 有一个与 Windows 证书存储交互的引擎（CAPI 引擎）。然而，我们并没有为 Mac 的 Keychain 找到这样的解决方案。

OpenSSL 和 Apple 的钥匙串之间有集成吗？

如果没有，您有什么建议？

Answer 1

我认为“最简单”的解决方案是为 CSSM 编写一个 OpenSSL 引擎（CDSA 的 API，Mac OS X 使用的安全架构）。您应该在 openssl-dev 邮件列表上询问是否有人有兴趣提供帮助（并且可能已经开始）。

Answer 2

除了处理客户端证书之外，您还需要验证服务器证书。

为此，您必须向 OpenSSL 提供回调，该回调使用 Mac OS X 安全框架来验证服务器证书。使用 OpenSSL 函数 SSL_CTX_set_cert_verify_callback 设置自定义证书验证回调。您的回调必须将 OpenSSL 证书转换为 SecCertificateRef，为 SSL 连接创建 SecPolicyRef，创建 SecTrustRef 并对其进行评估。有关更多详细信息，请参阅证书、密钥和信任服务参考。