私たちは、WindowsとMacの両方で動作するマルチプラットフォームアプリケーションを使用しています。私たちのアプリケーションは、OpenSSLをSSLおよび関連するサプライヤサプライヤとして使用しています。クライアント証明書を使用してセキュアな接続を確立し、エンドユーザーを識別します。OpenSSLとApple Keychainの統合
セキュリティを最大限に引き出すために、WindowsとMacのネイティブ証明書ストアを使用したいと考えています。 OpensslにはWindowsの証明書ストア(CAPIエンジン)と対話するエンジンがあります。しかし、私たちはMacのKeychainにこのようなソリューションを見つけることはできませんでした。
OpenSSLとAppleのキーチェーンとの統合はありますか?
もしそうでない場合は、あなたの提案は何ですか?
クライアント証明書を処理するだけでなく、サーバー証明書も確認する必要があります。
これを行うには、OpenSSLにMac OS Xセキュリティフレームワークを使用してサーバー証明書を検証するコールバックを提供する必要があります。 OpenSSL関数SSL_CTX_set_cert_verify_callbackを使用して、カスタム証明書検証コールバックを設定します。あなたのコールバックは、OpenSSL証明書をSecCertificateRefに変換し、SSL接続用にSecPolicyRefを作成し、SecTrustRefを作成して評価する必要があります。詳細はCertificate, Key, and Trust Services Referenceを参照してください。
「最も単純な」ソリューションは、CSSM用のOpenSSLエンジン(CDSA用API、security architecture used by Mac OS X)を作成することだと思います。助けに興味がある人は、openssl-devメーリングリストで質問してください(既に始まっているかもしれません)。
私たちはこのリンク(http://www.mentby.com/wim-lewis-2/using-cdsacssm-modules-as-openssl-engines.html)を見て、何らかの種類のopensslエンジンの実装を探しました。マック。私たちのニーズに答えるかどうかを確認しています。 – Guy