Вопрос по iphone, validation, x509certificate, objective-c, evaluation – Всегда EXC_BAD_ACCESS на SecTrustEvaluate

0

я используюПример кода Apple для оценки сертификата X509. Я немного изменил, чтобы получить сертификат из моего пакета (изменилось только имя файла).

Когда я запускаю это, он всегда падает в соответствии сcomment 5 status = SecTrustEvaluate(myTrust, &trustResult);, Я всегда получаюEXC_BAD_ACCESS там.

- (BOOL)validateCertificate
{
    NSString *thePath = [[NSBundle mainBundle] pathForResource:@"user_signed_cert" ofType:@"crt"];
    NSData *certData = [[NSData alloc]
                        initWithContentsOfFile:thePath];
    CFDataRef myCertData = (__bridge_retained CFDataRef)certData; //1
    SecCertificateRef myCert;
    myCert = SecCertificateCreateWithData(NULL, myCertData); //2
    SecPolicyRef myPolicy = SecPolicyCreateBasicX509(); //3
    SecCertificateRef certArray[1] = { myCert };
    CFArrayRef myCerts = CFArrayCreate(
                                       NULL, (void *)certArray,
                                       1, NULL);
    SecTrustRef myTrust;
    OSStatus status = SecTrustCreateWithCertificates(
                                                     myCerts,
                                                     myPolicy,
                                                     &myTrust); //4
    SecTrustResultType trustResult;
    if (status == noErr) {
        status = SecTrustEvaluate(myTrust, &trustResult); //5 }

        NSLog(@"Status: %d", status);
        //6 if (trustResult == kSecTrustResultRecoverableTrustFailure) {
    }

    if (myPolicy)
        CFRelease(myPolicy);
}

Кто-нибудь знает, что здесь происходит не так?

Заранее спасибо!

Update #1: I have changed it to the following but nothing changes. Same EXC_BAD_ACCESS on SecTrustEvaluate().

NSMutableArray *temp = [[NSMutableArray alloc] init];
[temp addObject:certData];
OSStatus status = SecTrustCreateWithCertificates((__bridge CFArrayRef)temp, myPolicy, &myTrust);

Кажется, чтоstatus пусто послеSecTrustCreateWithCertificates() но не содержит ошибки.

Любые другие предложения, что не так?

Update #2: I have tried the solution mentioned below and receive always kSecTrustResultInvalid. I have only changed the CA certificate creation to store the private key in ca.key because when signing the request (client.csr) I got the following error message:

Signature ok
subject=/CN=foo-by-ZeeCA
Getting CA Private Key
unable to load CA Private Key

Кроме того, мне пришлось изменить команду запроса подписи наopenssl x509 -CA ca.pem -in client.csr -CAkey ca.key -req -set_serial 1 -out client.pem, (добавлено-CAkey ca.key)

Затем я использовал код в решении ниже и добавил мои пути из комплекта. Кроме того, я добавил коммутатор для статуса.

/*
 # CA
 openssl req -x509 -new -subj /CN=ZeeCA -keyout ca.key -nodes -set_serial 1 > ca.pem
 openssl x509 -outform DER -out ca.der -in ca.pem

 # create andsign client
 openssl req  -new -subj /CN=foo-by-ZeeCA -CAkey ca.key  -keyout client.key -nodes > client.csr
 openssl x509 -CA ca.pem -in client.csr -req -set_serial 1  -out client.pem

 # format for client identity import
 openssl pkcs12 -export -out client.12 -inkey client.key -in client.pem -CAfile ca.pem -password pass:1234

 # format for trust.
 openssl x509 -in client.pem -out client.der -outform der

 */

NSString *clientPath = [[NSBundle mainBundle] pathForResource:@"client" ofType:@"der"];

//NSString *thePath = @"XXXX/client.der";

NSData *certData = [[NSData alloc]
                    initWithContentsOfFile:clientPath];
CFDataRef myCertData = (__bridge_retained CFDataRef)certData; //1

assert(myCertData);

SecCertificateRef myCert;
myCert = SecCertificateCreateWithData(NULL, myCertData); //2

assert(myCert);

SecPolicyRef myPolicy = SecPolicyCreateBasicX509(); //3

NSArray * certArray = [NSArray arrayWithObject:(__bridge id)(myCert)];

SecTrustRef myTrust;
OSStatus status = SecTrustCreateWithCertificates(
                                                 (__bridge CFArrayRef)certArray,
                                                 myPolicy,
                                                 &myTrust); //4

NSString *caPath = [[NSBundle mainBundle] pathForResource:@"ca" ofType:@"der"];
NSData *caData = [[NSData alloc]
                  initWithContentsOfFile:caPath];
CFDataRef myCaData = (__bridge_retained CFDataRef)caData; 
SecCertificateRef myCA = SecCertificateCreateWithData(NULL, myCaData); 
assert(myCA);

NSArray * myCAs = [NSArray arrayWithObject:(__bridge id)(myCA)];

SecTrustResultType xxx = SecTrustSetAnchorCertificates(myTrust, (__bridge CFArrayRef)(myCAs));
if (xxx != noErr) {
    NSLog(@"SecTrustSetAnchorCertificates failed: %d", xxx);
}


SecTrustResultType trustResult;
if (status == noErr) {
    status = SecTrustEvaluate(myTrust, &trustResult); //5 }        
    NSLog(@"Status: %d", status);
}

if (myPolicy)
    CFRelease(myPolicy);

if (status == noErr) {
    status = SecTrustEvaluate(myTrust, &trustResult); //5 }

    switch (status) {
        case kSecTrustResultProceed: // 1
            NSLog(@"Proceed");
            break;
        case kSecTrustResultConfirm: // 2
            NSLog(@"Confirm");
            break;
        case kSecTrustResultUnspecified: // 4
            NSLog(@"Unspecified");
            break;
        case kSecTrustResultRecoverableTrustFailure:  // 5
            NSLog(@"TrustFailure");
            break;
        case kSecTrustResultDeny: // 3
            NSLog(@"Deny");
            break;
        case kSecTrustResultFatalTrustFailure: // 6
            NSLog(@"FatalTrustFailure");
            break;
        case kSecTrustResultOtherError: // 7
            NSLog(@"OtherError");
            break;
        case kSecTrustResultInvalid: // 0
            NSLog(@"Invalid");
            break;
        default:
            NSLog(@"Default");
            break;
    }        
}

Ваш Ответ

1   ответ
0

что ваша проблема в массиве массива. Я использую приведенный ниже код - то есть передаю простой плоский массив SecCertificateRef в то, что вы называете myCerts.

        NSMutableArray *serverChain = [NSMutableArray array];
        for(int i = 0; i < SecTrustGetCertificateCount(secTrustRef); i++)
            [serverChain addObject:(__bridge id)(SecTrustGetCertificateAtIndex(secTrustRef,i))];

        SecTrustRef noHostTrustRef = NULL;
        OSErr status = SecTrustCreateWithCertificates((__bridge CFArrayRef) serverChain, SecPolicyCreateSSL(NO, nil), &noHostTrustRef);


        if (status != noErr) {
            NSLog(@"SecTrustCreateWithCertificates failed: %hd", status);
            [[challenge sender] cancelAuthenticationChallenge:challenge];
        }

        NSMutableArray *certRefs = [NSMutableArray arrayWithCapacity:[acceptableCAs count]];
        for(Certificate * cert in acceptableCAs)
            [certRefs addObject:(id)[cert secCertificateRef]];

        status = SecTrustSetAnchorCertificates(noHostTrustRef, (__bridge CFArrayRef)certRefs);
        if (status != noErr) {
            NSLog(@"SecTrustSetAnchorCertificates failed: %hd", status);
            [[challenge sender] cancelAuthenticationChallenge:challenge];
        }

        status = SecTrustEvaluate(noHostTrustRef, &result);
        if (status != noErr) {
            NSLog(@"SecTrustEvaluate failed: %hd", status);
            [[challenge sender] cancelAuthenticationChallenge:challenge];
        }
        CFRelease(noHostTrustRef);

Если я возьму ваш код и поместу его в простой упаковщик строки cmd:

import

int main(int argc, const char * argv[]) {

@autoreleasepool {

    //  openssl req -x509 -new -subj /CN=foo -out user_signed_cert.crt \
    //      -keyout /dev/null -outform DER -nodes -set_serial 1
    //
    NSString *thePath = @"XXXXX/user_signed_cert.crt";

    NSData *certData = [[NSData alloc]
                        initWithContentsOfFile:thePath];
    CFDataRef myCertData = (__bridge_retained CFDataRef)certData; //1

    assert(myCertData);

    SecCertificateRef myCert;
    myCert = SecCertificateCreateWithData(NULL, myCertData); //2
    SecPolicyRef myPolicy = SecPolicyCreateBasicX509(); //3
    SecCertificateRef certArray[1] = { myCert };
    CFArrayRef myCerts = CFArrayCreate(
                                       NULL, (void *)certArray,
                                       1, NULL);
    SecTrustRef myTrust;
    OSStatus status = SecTrustCreateWithCertificates(
                                                     myCerts,
                                                     myPolicy,
                                                     &myTrust); //4
    SecTrustResultType trustResult;
    if (status == noErr) {
        status = SecTrustEvaluate(myTrust, &trustResult); //5 }

        NSLog(@"Status: %d", status);
        //6 if (trustResult == kSecTrustResultRecoverableTrustFailure) {
    }

    if (myPolicy)
        CFRelease(myPolicy);

}
return 0;

и с явным сертификатом:

@autoreleasepool {

    /*

     # CA
     openssl req -x509 -new -subj /CN=ZeeCA -keyout /dev/stdout -nodes -set_serial 1 > ca.pem
     openssl x509 -outform DER -out ca.der -in ca.pem

     # create andsign client
     openssl req  -new -subj /CN=foo-by-ZeeCA   -keyout client.key -nodes > client.csr
     openssl x509 -CA ca.pem -in client.csr -req -set_serial 1  -out client.pem

     # format for client identity import
     openssl pkcs12 -export -out client.12 -inkey client.key -in client.pem -CAfile ca.pem -password pass:1234

     # format for trust.
     openssl x509 -in client.pem -out client.der -outform der

     */
    NSString *thePath = @"XXXX/client.der";

    NSData *certData = [[NSData alloc]
                        initWithContentsOfFile:thePath];
    CFDataRef myCertData = (__bridge_retained CFDataRef)certData; //1

    assert(myCertData);

    SecCertificateRef myCert;
    myCert = SecCertificateCreateWithData(NULL, myCertData); //2

    assert(myCert);

    SecPolicyRef myPolicy = SecPolicyCreateBasicX509(); //3

    NSArray * certArray = [NSArray arrayWithObject:(__bridge id)(myCert)];

    SecTrustRef myTrust;
    OSStatus status = SecTrustCreateWithCertificates(
                                                     (__bridge CFArrayRef)certArray,
                                                     myPolicy,
                                                     &myTrust); //4


    NSData *caData = [[NSData alloc]
                       initWithContentsOfFile:@"XXXXX/ca.der"];
    CFDataRef myCaData = (__bridge_retained CFDataRef)caData; 
    SecCertificateRef myCA = SecCertificateCreateWithData(NULL, myCaData); 
    assert(myCA);

    NSArray * myCAs = [NSArray arrayWithObject:(__bridge id)(myCA)];

    SecTrustResultType xxx = SecTrustSetAnchorCertificates(myTrust, (__bridge CFArrayRef)(myCAs));
    if (xxx != noErr) {
        NSLog(@"SecTrustSetAnchorCertificates failed: %d", xxx);
    }


    SecTrustResultType trustResult;
    if (status == noErr) {
        status = SecTrustEvaluate(myTrust, &trustResult); //5 }

        NSLog(@"Status: %d", status);
        //6 if (trustResult == kSecTrustResultRecoverableTrustFailure) {
    }

    if (myPolicy)
        CFRelease(myPolicy);

}

оба, кажется, делают трюк для меня?

Правильный. И, насколько мне известно, iPhone требуется сертификат для проверки в качестве DER и сертификат для использования для аутентификации клиента как P12. Если вы хотите проверить по тому же сертификату, что и для аутентификации клиента, я обнаружил, что мне нужно отдельно импортировать его как DER (конечно, без личного ключа), чтобы также использовать его для доверия.
Кроме того, когда я проверяю результат (status) это говорит мне, что сертификат недействителен. В основном, когда я импортирую сертификат CA на свое устройство (например, по электронной почте) и подтверждаю, что он заслуживает доверия, оценка должна пройти успешно? Я спрашиваю, потому что я пробовал это, и это все еще оценивает как недействительное ?! Chris
Спасибо, но та же ошибка. (Я обновил оригинальный пост) Chris
обновил ответ - мне интересно, если ваши файлы счастливы и / или имеют правильный формат. включил некоторые openssl, чтобы исключить это.
Спасибо, это работает! Кажется, что создание моего сертификата было неправильно. (openssl x509 -CA ca.pem -in user.csr -req -set_serial 1 -outform DER -out user.der -CAkey CA.key) Chris

Похожие вопросы