iOS：我的 iPhone 应用程序可以访问 iPhone 设备/设备信任存储的可信 CA 证书吗？

Question

我的 iPhone 应用程序想要访问 iphone 的 CA 信任库来验证 TLS 连接的服务器证书。是否可以访问存储所有已知可信 CA 证书的设备密钥链/信任库？

谢谢， bms

==================================

感谢您的回复。让我详细介绍一下我的设置。我使用 openssl 创建了一个服务器证书，该证书已安装在我的 tomcat 服务器上用于 https 连接。此外，我已经使用我自己的 CA 签署了这个服务器证书，并通过 Safari（http url）将此 CA/Root 证书安装到我的 iPhone 中。现在，在我的应用程序中，我想根据 iPhone 设备配置文件中安装的 CA 证书验证服务器证书（由 tomcat 提供）。

这种服务器验证在 iOS 中是否可行（以编程方式）？

如果服务器证书由公共 CA 签名，则 secTrustEvaluate 返回成功的返回码。但是，对于自定义 CA 签名证书，它返回“kSecTrustResultRecoverableTrustFailure”。

谢谢， bms

Answer 1

您的问题不够具体。有一个非常有用的例子可以访问钥匙串来存储证书：

https://github.com/kuapay/iOS-Certificate--Key--and-Trust-Sample-Project

我认为您必须使用以下功能添加您的证书（cer 格式）：

SecCertificateRef certificate =  SecCertificateCreateWithData(NULL, (CFDataRef) certificateData);

如果成功，您可以将其设置为网络模块的根证书...

如果您想对其进行评估：

        CFArrayRef rootCerts = (CFArrayRef)[client.additionalRootCertificates allObjects];
        SecTrustResultType result;
        OSStatus returnCode;

        if (rootCerts && CFArrayGetCount(rootCerts)) {
            // this could fail, but the trust evaluation will proceed (it's likely to fail, of course)
            SecTrustSetAnchorCertificates(trust, rootCerts);
        }

        returnCode = SecTrustEvaluate(trust, &result);

        if (returnCode == errSecSuccess) {
            proceed = (result == kSecTrustResultProceed || result == kSecTrustResultConfirm || result == kSecTrustResultUnspecified);
            if (result == kSecTrustResultRecoverableTrustFailure) {
                // TODO: should try to recover here
                // call SecTrustGetCssmResult() for more information about the failure
            }
        }

祝你好运！