引言

关于开发证书配置（Certificates & Identifiers &

Provisioning

Profiles），相信做iOS开发的同学没少被折腾。对于一个iOS开发小白、半吊子（比如像我自己）抑或老兵，或多或少会有或曾有过以下不详、疑问、疑惑甚至困惑：

什么是App ID？Explicit/Wildcard App ID有何区别？什么是App Group ID？

什么是证书（Certificate）？如何申请？有啥用？

什么是Key Pair（公钥/私钥）？有啥用？与证书有何关联？

什么是签名（Signature）？如何签名（CodeSign）？怎样校验（Verify）？

什么是（Team）Provisioning Profiles？有啥用？

Xcode如何配置才能使用iOS真机进行开发调试？

多台机器如何共享开发者账号或证书？

遇到证书配置问题怎么办？

本文将围绕相关概念做个系统的梳理串烧。

写在前面

1.假设你使用过Apple设备（iMac/iPad/iPhone）且注册过Apple ID（Apple Account）。

2.假设你或你所在的开发组已加入苹果开发者计划（Enroll in iOS Developer Program to become amember），即已注册开发者账号（Apple Developer Account）。

只有拥有开发者账号，才可以申请开发/发布证书及相关配置授权文件，进而在iOS真机上开发调试Apps或发布到App Store。

开发者账号分为Individual和Company/Organization两种类型。如无特别交代，下文基于$99/Year的普通个人开发者（Individual）账号展开。

3.若要真机调试实践，你必须至少拥有一台装有Mac OS X/Xcode的Mac开发机（iMac or MacBook），其上自带原生的Keychain Access。

一.App ID（bundle identifier）

App ID即Product ID，用于标识一个或者一组App。

App ID应该和Xcode中的Bundle Identifier是一致（Explicit）的或匹配（Wildcard）的。

App ID字符串通常以反域名（reverse-domain-name）格式的Company Identifier（Company ID）作为前缀（Prefix/Seed），一般不超过255个ASCII字符。

App ID全名会被追加Application Identifier Prefix（一般为TeamID.），分为两类：

Explicit App ID：唯一的App ID，用于唯一标识一个应用程序。例如“com.apple.garageband”这个App ID，用于标识Bundle Identifier为“com.apple.garageband”的App。

Wildcard App ID：含有通配符的App ID，用于标识一组应用程序。例如“*”（实际上是Application

Identifier Prefix）表示所有应用程序；而“com.apple.*”可以表示Bundle

Identifier以“com.apple.”开头（苹果公司）的所有应用程序。

用户可在Developer MemberCenter网站上注册（Register）或删除（Delete）已注册的App IDs。

App ID被配置到【XcodeTarget|Info|Bundle Identifier】下；对于Wildcard App ID，只要bundle identifier包含其作为Prefix/Seed即可。

二.设备（Device）

Device就是运行iOS系统用于开发调试App的设备。每台Apple设备使用UDID来唯一标识。

iOS设备连接Mac后，可通过iTunes->Summary或者Xcode->Window->Devices获取iPhone的UDID（identifier）。

Apple Member Center网站个人账号下的Devices中包含了注册过的所有可用于开发和测试的设备，普通个人开发账号每年累计*多只能注册100个设备。

Apps signed by you or your team run only on designated development devices.

Apps run only on the test devices you specify.

用户可在网站上注册或启用/禁用（Enable/Disable）已注册的Device。

本文的Devices是指连接到Xcode被授权用于开发测试的iOS设备（iPhone/iPad）。

三.开发证书（Certificates）

1.证书的概念

证书是由公证处或认证机关开具的证明资格或权力的证件，它是表明（或帮助断定）事理的一个凭证。证件或凭证的尾部通常会烙印公章。

每个中国人一生可能需要70多个证件，含15种身份证明。证件中“必需的”有30到40个。将这些证件按时间顺序铺开，那就是一个天朝子民的一生——持准生证许可落地，以户籍证明入籍，以身份证认证身份，持结婚证以合法同居，*终以死亡证明注销。

2.数字证书的概念

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构——CA机构，又称为证书授权中心（Certificate Authority）发行的，人们可以在网上用它来识别对方的身份。

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。*简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

数字证书还有一个重要的特征就是时效性：只在特定的时间段内有效。

数字证书中的公开密钥（公钥）相当于公章。

某一认证领域内的根证书是CA认证中心给自己颁发的证书，是信任链的起始点。安装根证书意味着对这个CA认证中心的信任。

为了防止GFW进行中间人攻击(MitM)，例如篡改github证书，导致无法访问github网站等问题，可选择不信任CNNIC：

在［钥匙串-系统］中双击CNNIC ROOT，在【信任】|【使用此证书时】下拉选择【永不信任】。

在天朝子民的一生中，户籍证明可理解为等效的根证书：有了户籍证明，才能办理身份证；有了上流的身份证，才能办理下游居住证、结婚证、计划生育证、驾驶执照等认证。

3.iOS（开发）证书

iOS证书是用来证明iOS App内容（executable code）的合法性和完整性的数字证书。对于想安装到真机或发布到AppStore的应用程序（App），只有经过签名验证（Signature Validated）才能确保来源可信，并且保证App内容是完整、未经篡改的。

iOS证书分为两类：Development和Production（Distribution）。

Development证书用来开发和调试应用程序：Adevelopment certificateidentifies you, as a team member, in a development provisioning profile that allows apps signed by you tolaunchon devices.

Production主要用来分发应用程序（根据证书种类有不同作用）：Adistribution certificateidentifies your team or organization in a distribution provisioning profile and allows you tosubmityour app to the store. Only a team agent or an admin can create a distribution certificate.

普通个人开发账号*多可注册iOS Development/Distribution证书各2个，用户可在网站上删除（Revoke）已注册的Certificate。

下文主要针对iOS App开发调试过程中的开发证书（Certificate for Development）。

4.iOS（开发）证书的根证书

那么，iOS开发证书是谁颁发的呢？或者说我们是从哪个CA申请到用于Xcode开发调试App的证书呢？

iOS以及Mac OS X系统（在安装Xcode时）将自动安装AppleWWDRCA.cer这个中间证书（Intermediate Certificates），它实际上就是iOS（开发）证书的证书，即根证书（Apple Root Certificate）。

AppleWWDRCA（Apple Root CA）类似注册管理户籍的公安机关户政管理机构，AppleWWDRCA.cer之于iOS（开发）证书则好比户籍证之于身份证。

如果Mac Keychain Access证书助理在申请证书时尚未安装过该证书，请先下载安装（Signing requires that

you have both the signing identity and the intermediate certificate

installed in your keychain）。

5.申请证书（CSR：Certificate Signing Request）

可以在缺少证书时通过Xcode Fix Issue自动请求证书，这里通过Keychain证书助理从证书颁发机构请求证书：填写开发账号邮件和常用名称，勾选【存储到磁盘】。

keychain将生成一个包含开发者身份信息的CSR（Certificate Signing Request）文件；同时，Keychain Access|Keys中将新增一对Public/PrivateKey Pair（Thissigning identity consists of a public-private key pair that Apple issues）。

private key始终保存在Mac OS的Keychain Access中，用于签名（CodeSign）对外发布的App；public key一般随证书（随Provisioning Profile，随App）散布出去，对App签名进行校验认证。用户必须保护好本地Keychain中的private key，以防伪冒。

Keep a secure backup of your public-private key pair. If the private key is lost, you’ll have to create anentirely newidentity to sign code.

Worse, if someone else has your private key, that person may be able toimpersonateyou.

在Apple开发网站上传该CSR文件来添加证书（Upload CSR file to generate your certificate）：

Apple证书颁发机构WWDRCA(Apple Worldwide Developer Relations Certification Authority)将使用private key对CSR中的public key和一些身份信息进行加密签名生成数字证书（ios_development.cer）并记录在案（Apple Member Center）。

从Apple Member

Center网站下载证书到Mac上双击即可安装（当然也可在Xcode中添加开发账号自动同步证书和[生成]配置文件）。证书安装成功后，在KeychainAccess|Keys中展开创建CSR时生成的Key

Pair中的私钥前面的箭头，可以查看到包含其对应公钥的证书（Your requested certificate will be the

public half of the key pair.）；在Keychain

Access|Certificates中展开安装的证书（ios_development.cer）前面的箭头，可以看到其对应的私钥。

Certificate被配置到【Xcode Target|Build Settings|Code Signing|Code Signing Identity】下，下拉选择Identities from Profile “…”（一般先配置Provisioning Profile）。以下是Xcode配置示例：

四.供应配置文件（Provisioning Profiles）

1.Provisioning Profile的概念

Provisioning Profile文件包含了上述的所有内容：证书、App ID和设备。

一个Provisioning Profile对应一个Explicit App ID或Wildcard App

ID（一组相同Prefix/Seed的App IDs）。在网站上手动创建一个Provisioning Profile时，需要依次指定App

ID（单选）、证书（Certificates，可多选）和设备（Devices，可多选）。用户可在网站上删除（Delete）已注册的Provisioning

Profiles。

Provisioning Profile决定Xcode用哪个证书（公钥）/私钥组合（Key

Pair/Signing Identity）来签署应用程序（Signing

Product）,将在应用程序打包时嵌入到.ipa包里。安装应用程序时，Provisioning

Profile文件被拷贝到iOS设备中，运行该iOS App的设备也通过它来认证安装的程序。

如果要打包或者在真机上运行一个APP，一般要经历以下三步：

首先，需要指明它的App ID，并且验证Bundle ID是否与其一致；

其次，需要证书对应的私钥来进行签名，用于标识这个APP是合法、安全、完整的；

然后，如果是真机调试，需要确认这台设备是否授权运行该APP。

Provisioning Profile把这些信息全部打包在一起，方便我们在调试和发布程序打包时使用。这样，只要在不同的情况下选择不同的Provisioning Profile文件就可以了。

Provisioning

Profile也分为Development和Distribution两类，有效期同Certificate一样。Distribution版本的ProvisioningProfile主要用于提交App

Store审核，其中不指定开发测试的Devices（0，unlimited）。App ID为Wildcard App ID（*）。App

Store审核通过上架后，允许所有iOS设备（Deployment Target）上安装运行该App。

Xcode将全部供应配置文件（包括用户手动下载安装的和Xcode自动创建的Team Provisioning Profile）放在目录~/Library/MobileDevice/Provisioning Profiles下。

2.Provisioning Profile的构成

以下为典型供应配置文件*.mobileprovision的构成简析：

（1）Name：该mobileprovision的文件名。

（2）UUID：该mobileprovision文件的真实文件名。

（3）TeamName：Apple ID账号名。

（4）TeamIdentifier：Team Identity。

（5）AppIDName：explicit/wildcard App ID name（ApplicationIdentifierPrefix）。

（6）ApplicationIdentifierPrefix：完整App ID的前缀（TeamIdentifier.*）。

（7）DeveloperCertificates：包含了可以为使用该配置文件应用签名的所有证书。

证书是基于Base64编码，符合PEM(PrivacyEnhanced Mail, RFC 1848)格式的，可使用OpenSSL来处理（opensslx509 -text -in file.pem）。

从DeveloperCertificates提取之间的内容到文件cert.cer（cert.perm）：

—–BEGIN CERTIFICATE—–

将之间的内容拷贝至此

—–END CERTIFICATE—–`

Mac下右键QuickLook查看cert.cer（cert.perm），在Keychain Access中右键Get

Info查看对应证书ios_development.cer，正常情况（公私钥KeyPair配对）应吻合；Windows下没有足够信息（WWDRCA.cer），无法验证该证书。

如果你用了一个不在这个列表中的证书进行签名，无论这个证书是否有效，这个应用都将CodeSign Fail。

（8）Entitlements键对应的：

keychain-access-groups：$(AppIdentifierPrefix)，参见Code Signing Entitlements(*.entitlements)。

每个应用程序都有一个可以用于安全保存一些如密码、认证等信息的keychain，一般而言自己的程序只能访问自己的keychain。通过对应用签名时的一些设置，还可以利用keychain的方式实现同一开发者签证（就是相同bundle seed）下的不同应用之间共享信息的操作。比如你有一个开发者帐户，并开发了两个不同的应用A和B，然后通过对A和B的keychain access group这个东西指定共用的访问分组，就可以实现共享此keychain中的内容。

application-identifier：带前缀的全名，例如$(AppIdentifierPrefix)com.apple.garageband。

com.apple.security.application-groups：App Group ID（group. com.apple），参见Code Signing Entitlements(*.entitlements)。

com.apple.developer.team-identifier：同Team Identifier。

（9）ProvisionedDevices：该mobileprovision授权的开发设备的UDID 。

Provisioning Profile被配置到【XcodeTarget|Build Settings|Code Signing|Provisioning Profile】下，然后在Code Signing Identity下拉可选择Identities from Profile “…”（即Provisioning Profile中包含的Certificates）。

五.开发组供应配置文件（Team Provisioning Profiles）

1.Team Provisioning Profile的概念

每个Apple开发者账号都对应一个唯一的Team ID，Xcode3.2.3预发布版本中加入了Team Provisioning Profile这项新功能。

在Xcode中添加Apple Developer Account时，它将与Apple Member Center后台勾兑自动生成iOS Team Provisioning Profile（Managed by Xcode）。

Team Provisioning Profile包含一个为Xcode iOS Wildcard App ID(*)生成的iOS Team

Provisioning Profile:*（匹配所有应用程序），账户里所有的Development

Certificates和Devices都可以使用它在这个team注册的所有设备上调试所有的应用程序（不管bundle

identifier是什么）。同时，它还会为开发者自己创建的Wildcard/Explicit App IDs创建对应的iOS Team

Provisioning Profile。

2.Team Provisioning Profile生成/更新时机

Add an Apple ID account to Xcode

Fix issue “No Provisioning Profiles with a valid signing identity” in Xcode

Assign Your App to a Team in Xcode project settings of General|Identity

Register new device on the apple development website or Xcode detected new device connected

利用Xcode生成和管理的iOS Team Provisioning Profile来进行开发非常方便，可以不需要上网站手动生成下载Provisioning Profile。

Team Provisioning Profile同Provisioning Profile，只不过是由Xcode自动生成的，也被配置到【XcodeTarget|Build Settings|Code Signing|Provisioning Profile】下。

六.App Group （ID）

1.App Group的概念

WWDC14除了发布了OS X v10.10和switf外，iOS 8.0也开始变得更加开放了。说到开放，当然要数应用扩展（App Extension）了。顾名思义，应用扩展允许开发者扩展应用的自定义功能和内容，能够让用户在使用其他应用程序时使用该项功能，从而实现各个应用程序间的功能和资源共享。可以将扩展理解为一个轻量级（nimble and lightweight）的分身。

扩展和其Containing App各自拥有自己的沙盒，虽然扩展以插件形式内嵌在Containing

App中，但是它们是独立的二进制包，不可以互访彼此的沙盒。为了实现Containing App与扩展的数据共享，苹果在iOS

8中引入了一个新的概念——App Group，它主要用于同一Group下的APP实现数据共享，具体来说是通过以App Group

ID标识的共享资源区——App Group Container。

App Group ID同App ID一样，一般不超过255个ASCII字符。用户可在网站上编辑Explicit App IDs的App Group Assignment；可以删除（Delete）已注册的AppGroup （ID）。

2.App Group的配置

Containing App与Extension的Explicit App ID必须Assign到同一App Group下才能实现数据共享，并且Containing App与Extension的App ID命名必须符合规范：

置于同一App Group下的App IDs必须是唯一的（Explicit，not Wildcard）

Extension App ID以Containing App ID为Prefix/Seed

假如Garageband这个App ID为“com.apple.garageband”，则支持从语音备忘录导入到Garageband应用的插件的App ID可能形如“com.apple.garageband.extImportRecording”。

App(ex)

App Group IDProvisioning Profile

Code Signing Identity

（Certificate Key Pair）App ID

（bundle identifier）Devices

（test）

GarageBand

置于同一分组：

group.com.apple（1）共用同一证书：ios_development.cer

（2）共用证书Key Pair中的Private Key进行CodeSigncom.apple.garageband

授权开发测试设备的UDIDs

GarageBand扩展插件

com.apple.garageband.extImportRecording

关于Provisioning Profile，可以使用自己手动生成的，也可以使用Xcode自动生成的Team Provisioning Profile。

App Group会被配置到【Xcode Target|Build Settings|Code Signing|Code Signing Entitlements】文件（*.entitlements）的键com.apple.security.application-groups下，不影响Provisioning Profile生成流程。

七.证书与签名（Certificate& Signature）

1.Code Signing Identity

Xcode中配置的Code Signing

Identity（entitlements、certificate）必须与Provisioning

Profile匹配，并且配置的Certificate必须在本机Keychain Access中存在对应Public／Private Key

Pair，否则编译会报错。

Xcode所在的Mac设备（系统）使用CA证书（WWDRCA.cer）来判断Code Signing Identity中Certificate的合法性：

若用WWDRCA公钥能成功解密出证书并得到公钥（Public Key）和内容摘要（Signature），证明此证书确乃AppleWWDRCA发布，即证书来源可信；

再对证书本身使用哈希算法计算摘要，若与上一步得到的摘要一致，则证明此证书未被篡改过，即证书完整。

2.Code Signing

每个证书（其实是公钥）对应Key Pair中的私钥会被用来对内容（executable code，resources such as images and nib files aren’t signed）进行数字签名（CodeSign）——使用哈希算法生成内容摘要（digest）。

Xcode使用指定证书配套的私钥进行签名时需要授权，选择【始终允许】后，以后使用该私钥进行签名便不会再弹出授权确认窗口。

3.Verify Code Signature with Certificate

上面已经提到，公钥被包含在数字证书里，数字证书又被包含在描述文件(Provisioning File)中，描述文件在应用被安装的时候会被拷贝到iOS设备中。

*步，App在Mac／iOS真机上启动时，需要对配置的bundle ID、entitlements和certificate与Provisioning Profile进行匹配校验：

第二步，iOS/Mac真机上的ios_development.cer被AppleWWDRCA.cer中的 public key解密校验合法后，获取每个开发证书中可信任的公钥对App的可靠性和完整性进行校验。

iOS/Mac设备（系统）使用App Provisioning Profile（Code Signing Identity）中的开发证书来判断App的合法性：

若用证书公钥能成功解密出App（executable code）的内容摘要（Signature），证明此App确乃认证开发者发布，即来源可信；

再对App（executable code）本身使用哈希算法计算摘要，若与上一步得到的摘要一致，则证明此App（executable code）未被篡改过，即内容完整。

小结：

基于Provisioning Profile校验了CodeSign的一致性；

基于Certificate校验App的可靠性和完整性；

启动时，真机的device ID（UUID）必须在Provisioning Profile的ProvisionedDevices授权之列。

八.在多台机器上共享开发账户/证书

1.Xcode导出开发者账号(*.developerprofile)或PKCS12文件(*.p12)

进入Xcode Preferences|Accounts：

选中Apple IDs列表中对应Account的的Email，点击+-之后的☸|Export Accounts，可导出包含account/code signing identity/provisioning profiles信息的*.developerprofile（Exporting a Developer Profile）文件供其他机器上的Xcode开发使用（Import该Account）。

选中右下列表中某行Account Name条目|ViewDetails，可以查看Signing Identities和Provisioning Profiles。

选中欲导出的Signing Identity条目，点击栏底+之后的☸|Export，必须输入密码，并需授权export key “privateKey” from keychain，将导出Certificates.p12。

点击左下角的刷新按钮可从Member Center同步该账号下所有的Provisioning Profile到本地。

选中右击列表中某个Provisioning Profile可以【Show in Finder】到[~/Library/MobileDevice/Provisioning\ Profiles]目录，其中Provisioning Profile的真实名称为$(UUID).mobileprovision，名如”2488109f-ff65-442e-9774-fd50bd6bc827.mobileprovision”，其中Name中为Xcode中看到的描述性别名。

2.Keychain Access导出PKCS12文件(*.p12)

在Keychain Access|Certificates中选中欲导出的certificate或其下private key，右键Export或者通过菜单File|Export Items导出Certificates.p12——PKCS12 file holds theprivate keyandcertificate。

其他Mac机器上双击Certificates.p12（如有密码需输入密码）即可安装该共享证书。有了共享证书之后，在开发者网站上将欲调试的iOS设备注册到该开发者账号名下，并下载对应证书授权了iOS调试设备的Provisioning

Profile文件，方可在iOS真机设备上开发调试。

九.证书配置常见错误

1.no such provisioning profile was found

Xcode Target|Genera|Identity Team下提示”Your build settings specify a

provisioning profile with the UUID “xxx”,howerver, no such provisioning

profile was found.”

Xcode Target|BuildSettings|Code Signing|当前配置的指定UDID的provisioning

profile在本地不存在，此时需要更改Provisioning Profile。必要时手动去网站下载或重新生成Provisioning

Profile或直接在Xcode中Fix issue予以解决（可能自动生成iOS Team ProvisioningProfile）！

2.No identities from profile

Build Settings|CodeSigning的Provisioning Profile中选择了本地安装的provisioning profile之后，Code Signing Identity中下拉提示No identities from profile “…”or No identities from keychain.

Xcode配置指定UDID的provisioning profile中的DeveloperCertificates在本地KeyChain中不存在（No identities are available）或不一致（KeyPair中的Private Key丢失），此时需去网站检查ProvisioningProfile中的App ID-Certificate-Device配置是否正确。如果是别人提供的共享账号（*.developerprofile）或共享证书(*.p12)，请确保导出了对应Key Pair中的Private Key。必要时也直接在Xcode中Fix issue予以解决（可能自动生成iOS Team ProvisioningProfile）。

3.Code Signing Entitlements file do not match profile

“Invalid application-identifier Entitlement” or “Code Signing Entitlements file do not match those specified in your provisioning profile.(0xE8008016).”

（1）检查对应版本（Debug）指定的*.entitlements文件中的“Keychain Access Groups”键值是否与ProvisioningProfile中的Entitlements项相吻合（后者一般为前者的Prefix/Seed）。

（2）也可以将Build Settings|Code Signing的Provisioning Profile中对应版本（Debug）的Entitlements置空。

4.Xcode配置反应有时候不那么及时，可刷新、重置相关配置项开关（若有）或重启Xcode试试。

iOS 证书、密钥及信任服务

——翻译自Apple Reference《Certificate,Key,andTrust Services Programming Guide》

 

本章描述并演示了如何使用证书、密钥和信任服务去导入一个indentity，评估证书是否可信，判断证书失效的原因，以及失效证书的恢复。

本章按如下顺序分别演示了：

导入一个identity.

从导入的数据中获得证书.

获得用于证书评估的策略.

校验证书，根据指定策略评估证书是否可信.

测试证书中的可恢复错误.

判断证书是否过期.

改变评估条件,忽略过期证书.

重新评估证书.

“第2章，Certificate,Key,and TrustServices Concepts”,介绍了证书，密钥和信任服务的概念和术语。关于证书，密钥和信任服务的细节内容，请参考Certificate,Key,andTrust Services Reference.

从一个.p12文件中提取、评估Identity
如果你需要在iOS设备上使用加密过的identity（一个密钥及其关联的证书）进行客户端认证，例如——你可以把PKCS#12数据以受密码保护的文件的方式安全地传输到这个设备上。本节显示如何从PKCS#12数据中提取identity和trustobjects（可信任对象），并评估其可信度。

列表 2-1 显示了用SecPKCS12Import函数从.p12文件中提取identity和可信任对象，以及评估其可信度。

列表 2-2 显示如何从identity中获取证书并显示证书信息。每个列表后都对代码进行了解释。

在编译这段代码时，请确认在Xcode工程中加入了Security.framework。

列表  2-1  从PKCS#12数据中提取identity和trust对象

#import <UIKit/UIKit.h>

#import <Security/Security.h>

#import<CoreFoundation/CoreFoundation.h>

 

NSString *thePath = [[NSBundle mainBundle]

pathForResource:@”MyIdentity” ofType:@”p12″];

NSData *PKCS12Data = [[NSData alloc]initWithContentsOfFile:thePath];

CFDataRef inPKCS12Data =(CFDataRef)PKCS12Data;            // 1

 

OSStatus status = noErr;

SecIdentityRef myIdentity;

SecTrustRef myTrust;

status = extractIdentityAndTrust(

inPKCS12Data,

&myIdentity,

&myTrust);                // 2

if status != 0 …  //Do some error checking here

 

SecTrustResultType trustResult;

 

if(status == noErr) {                                     // 3

status =SecTrustEvaluate(myTrust, &trustResult);

}

 

 

…                                                            // 4

if (trustResult ==kSecTrustResultRecoverableTrustFailure) {

…;

}

 

OSStatus extractIdentityAndTrust(CFDataRefinPKCS12Data,        // 5

SecIdentityRef *outIdentity,

SecTrustRef *outTrust)

{

OSStatus securityError = errSecSuccess;

 

 

CFStringRef password =CFSTR(“Password”);

const void *keys[] =   { kSecImportExportPassphrase };

const void *values[] = { password };

CFDictionaryRef optionsDictionary =CFDictionaryCreate(

NULL,keys,

values, 1,

NULL, NULL);  // 6

 

 

CFArrayRef items = CFArrayCreate(NULL, 0, 0,NULL);

securityError = SecPKCS12Import(inPKCS12Data,

optionsDictionary,

&items);                   // 7

 

 

//

if (securityError == 0) {                                  // 8

CFDictionaryRefmyIdentityAndTrust = CFArrayGetValueAtIndex (items, 0);

const void *tempIdentity= NULL;

tempIdentity =CFDictionaryGetValue (myIdentityAndTrust,

kSecImportItemIdentity);

*outIdentity =(SecIdentityRef)tempIdentity;

const void *tempTrust =NULL;

tempTrust =CFDictionaryGetValue (myIdentityAndTrust, kSecImportItemTrust);

*outTrust =(SecTrustRef)tempTrust;

}

 

if (optionsDictionary)

CFRelease(optionsDictionary);                           //9

[PKCS12Data release];

在这段代码中:

检索PKCS#12文件并获得数据。本例中，该文件位于applicationbundle中。你也可以通过网络方式把文件传输给你的应用程序。

调用该函数获得identity和trust对象（见步骤5）。

评估证书。这里的信任对象（trust object），包括信任策略和其他用于判断证书是否可信的信息，都已经含在了PKCS数据中。要单独评估一个证书是否可信，见列表2-6。

处理信任结果。如果信任结果是kSecTrustResultInvalid，kSecTrustResultDeny，kSecTrustResultFatalTrustFailure，你无法进行处理。如果评估结果是kSecTrustResultRecoverableTrustFailure，你可以从信任失败中恢复。参见“从信任失败中恢复”。

第2步中调用的函数的具体实现。

构造包含了密码的dictionary，用于传递给SecPKCS12Import函数。注意这里使用的是corefoundation中的CFDictionaryRef，与NSDictionary完全等价。列表 2-9 则是一个使用NSDictionary的例子。

从PKCS#12数据中提取证书、密钥和trust并将其放到数组中。

从数组中取出第1个dictionary，并从dictionary中取出identity和trust。SecPKCS12Import函数将PKCS数据中的每一个条目返回为一个dictionary。本例中，identity被提取到数组的第1个元素。

释放dictionary和PKCS12Data，他们不再被使用。

以下列表显示如何从identity中获取证书以及显示证书信息。编译本段代码前请确保在工程中导入了Security.framework。

列表  2-2  显示证书信息

// 从identity获取证书.

SecCertificateRef myReturnedCertificate = NULL;

status = SecIdentityCopyCertificate(myReturnedIdentity,

&myReturnedCertificate); // 1

 

CFStringRef certSummary = SecCertificateCopySubjectSummary

(myReturnedCertificate);  //2

 

NSString* summaryString = [[NSString alloc]

initWithString:(NSString*)certSummary];  // 3

 

//Display the string

…

[summaryString release];                                  // 4

在这段代码中:

从identity中提取证书。

从证书中获取summary摘要信息。

string 转换为NSString。

释放NSString。

 

获取和使用持久化的钥匙串
当你在钥匙串中添加或查找一个条目时，你需要有一个持久化的引用。因为持久化引用能保证在程序从启动到能写入磁盘这段时间内，始终可用。当需要反复在钥匙串中查找条目时，使用持久化引用更加容易。以下代码演示如何获取一个identity的持久化引用。

列表  2-3  获取identity的持久化引用

CFDataRef persistentRefForIdentity(SecIdentityRefidentity)

{

OSStatus status;

 

CFTypeRef identity_handle = NULL;

const void *keys[] =   { kSecReturnPersistentRef, kSecValueRef };

const void *values[] = { kCFBooleanTrue,          identity };

CFDictionaryRef dict = CFDictionaryCreate(NULL,keys, values,

2, NULL, NULL);

status = SecItemAdd(dict, &persistent_ref);

 

if (dict)

CFRelease(dict);

 

return (CFDataRef)persistent_ref;

}

下面演示使用持久化引用从钥匙串中检索identity对象。

列表 2-4  用持久化引用获取identity对象

SecIdentityRefidentityForPersistentRef(CFDataRef persistent_ref)

{

CFTypeRef   identity_ref     = NULL;

const void *keys[] =   { kSecReturnRef, kSecValuePersistentRef };

const void *values[] = { kCFBooleanTrue,persistent_ref };

CFDictionaryRef dict = CFDictionaryCreate(NULL,keys, values,

2, NULL, NULL);

SecItemCopyMatching(dict, &identity_ref);

 

if (dict)

CFRelease(dict);

 

return (SecIdentityRef)identity_ref;

}

 

从钥匙串中查找证书
以下代码演示如何使用证书名（在钥匙串中用证书名标识证书）查找证书。要用持久化引用在钥匙串中找到一个条目，参考列表 2-4。要用一个id字串查找一个条目，参考“数据加密和解密”。

列表 2-5  在钥匙串中查找证书

CFTypeRef   certificateRef     = NULL;                     // 1

const char *certLabelString = “RomeoMontegue”;

CFStringRef certLabel =CFStringCreateWithCString(

NULL, certLabelString,

kCFStringEncodingUTF8);         // 2

 

const void *keys[] =   { kSecClass, kSecAttrLabel, kSecReturnRef };

const void *values[] = { kSecClassCertificate,certLabel, kCFBooleanTrue };

CFDictionaryRef dict = CFDictionaryCreate(NULL,keys,

values, 3,

NULL, NULL);       // 3

status = SecItemCopyMatching(dict,&certificateRef);        // 4

 

if (dict)

CFRelease(dict);

 

在这段代码中:

定义变量，存储证书对象。

定义字符串，存储证书名。

定义 dictionary，存储证书查找条件。键－值序列中的键 kSecReturnRef表明，函数调用结束时应返回一个钥匙串条目的引用（当查找有结果时）。

 

在钥匙串中查找证书。

 

获取策略对象并评估可信度
评估证书可信度之前，必需获取到一个证书对象的引用。你可以从一个identity中提取一个证书对象（列表2-2），也可以从DER证书数据中创建证书对象（使用SecCertificateCreateWithData函数，见列表 2-6），或者从钥匙串中查找证书（列表2-5）。

评估信任度的标准由信任策略（trust policy）指定。列表3-2 显示如何获得用于评估的策略对象。在iOS中有两种策略可用：Basic X509和SSL（参考AppleX509TP 信任策略）。可以用SecPolicyCreateBasicX509或者SecPolicyCreateSSL函数获取策略对象。

下列代码显示了获取策略对象并用于评估证书是否可信。

列表 2-6  获取策略对象用于评估

NSString *thePath = [[NSBundle mainBundle]

pathForResource:@”Romeo Montegue” ofType:@”cer”];

NSData *certData = [[NSData alloc]

initWithContentsOfFile:thePath];

CFDataRef myCertData = (CFDataRef)certData;                // 1

 

SecCertificateRef myCert;

myCert = SecCertificateCreateWithData(NULL,myCertData);    // 2

 

SecPolicyRef myPolicy = SecPolicyCreateBasicX509();        // 3

 

SecCertificateRef certArray[1] = { myCert };

CFArrayRef myCerts = CFArrayCreate(

NULL, (void *)certArray,

1, NULL);

SecTrustRef myTrust;

OSStatus status =SecTrustCreateWithCertificates(

myCerts,

myPolicy,

&myTrust);  // 4

 

SecTrustResultType trustResult;

if (status == noErr) {

status =SecTrustEvaluate(myTrust, &trustResult);       // 5

}

…                                                            // 6

if (trustResult ==kSecTrustResultRecoverableTrustFailure) {

…;

}

…

if (myPolicy)

CFRelease(myPolicy);                                   // 7

在这段代码中:

查找证书文件并获取数据。本例中，该文件位于应用程序束。但你也可以从网络获取证书。如果证书存在于钥匙串中，参考“在钥匙串中查找证书”。

从证书数据中创建certificate引用。

创建用于评估证书的策略。

用证书和策略创建信任对象（trust）。如果存在中间证书或者锚证书，应把这些证书都包含在certificate数组中并传递给SecTrustCreateWithCertificates函数。这样会加快评估的速度。

评估一个信任对象。

处理信任结果（trust result）。如果信任结果是kSecTrustResultInvalid，kSecTrustResultDeny，kSecTrustResultFatalTrustFailure，你无法进行处理。如果信任结果是kSecTrustResultRecoverableTrustFailure，你可以恢复这个错误。参考“从信任失败中恢复”。

释放策略对象。

 

从信任失败中恢复
信任评估的结果有多个，这取决于：是否证书链中的所有证书都能找到并全都有效，以及用户对这些证书的信任设置是什么。信任结果怎么处理则由你的程序来决定。例如，如果信任结果是kSecTrustResultConfirm，你可以显示一个对话框，询问用户是否允许继续。

信任结果kSecTrustResultRecoverableTrustFailure的意思是：信任被否决，但可以通过改变设置获得不同结果。例如，如果证书签发过期，你可以改变评估日期以判断是否证书是有效的同时文档是已签名的。列表3-4 演示如何改变评估日期。注意 CFDateCreate函数使用*对时间（从2001年1月1日以来的秒数）。你可以用CFGregorianDateGetAbsoluteTime函数把日历时间转换为*对时间。

列表 2-7  设置评估时间

SecTrustResultTypetrustResult;

status =SecTrustEvaluate(myTrust, &trustResult);       // 1

 

//Get time used to verify trust

CFAbsoluteTimetrustTime,currentTime,timeIncrement,newTime;

CFDateRef newDate;

if (trustResult ==kSecTrustResultRecoverableTrustFailure) {// 2

trustTime =SecTrustGetVerifyTime(myTrust);            // 3

timeIncrement = 31536000;                              // 4

currentTime =CFAbsoluteTimeGetCurrent();              // 5

newTime = currentTime -timeIncrement;                 // 6

if (trustTime -newTime){                              //7

newDate = CFDateCreate(NULL, newTime);             // 8

SecTrustSetVerifyDate(myTrust, newDate);           // 9

status = SecTrustEvaluate(myTrust, &trustResult);   // 10

}

}

if (trustResult != kSecTrustResultProceed){               // 11

…

}

在这段代码中：

评估证书可信度。参考“获取策略对象并评估可信度”。

检查信任评估结果是否是可恢复的失败(kSecTrustResultRecoverableTrustFailure)。

取得证书的评估时间（*对时间）。如果证书在评估时已经过期了，则被认为无效。

设置时间的递增量为1年（以秒计算）。

取得当前时间的*对时间。

设置新时间（第2次评估的时间）为当前时间减一年。

检查评估时间是否大于1年前（*近一次评估是否1年前进行的）。如果是，使用新时间（1年前的时间）进行评估，看证书是否在1年前就已经过期。

把新时间转换为CFDateRef。也可以用NSDate，二者是完全互通的，方法中的NSDate*参数，可以用CFDateRef进行传递；反之亦可。

设置信任评估时间为新时间（1年前）。

再次进行信任评估。如果证书是因为过期（到期时间在1年内）导致前次评估失败，那么这次评估应该成功。

再次检查评估结果。如果仍不成功，则需要做更进一步的操作，比如提示用户安装中间证书，或则友好地告知用户证书校验失败。

 

数据加密和解密
证书，密钥和信任API包含了生产不对称密钥对并用于数据加密／解密的函数集。例如，你可能想加密数据，这些数据的备份不能被访问。或者，你可能想在你的iOS应用和桌面应用间共享公钥／私钥对，以通过网络发送加密数据。列表2-8 显示如何产生可用于手机的公／私钥对。列表 2-9 显示如何用公钥加密数据，列表 2-10 显示如何用私钥解密数据。注意，这几个示例都使用了cocoa对象（如NSMutableDictionary），而本章其他示例使用了coreframework对象（如CFMutableDictionaryRef），二者是等价的。

 

列表 2-8  生成密钥对

static const UInt8 publicKeyIdentifier[] =”com.apple.sample.publickey/0″;

static const UInt8 privateKeyIdentifier[] =”com.apple.sample.privatekey/0″;

// 1

 

– (void)generateKeyPairPlease

{

OSStatus status = noErr;

NSMutableDictionary *privateKeyAttr =[[NSMutableDictionary alloc] init];

NSMutableDictionary *publicKeyAttr =[[NSMutableDictionary alloc] init];

NSMutableDictionary *keyPairAttr =[[NSMutableDictionary alloc] init];

//2

 

NSData * publicTag = [NSDatadataWithBytes:publicKeyIdentifier

length:strlen((const char *)publicKeyIdentifier)];

NSData * privateTag = [NSData dataWithBytes:privateKeyIdentifier

length:strlen((const char *)privateKeyIdentifier)];

// 3

 

SecKeyRef publicKey = NULL;

SecKeyRef privateKey = NULL;                               //4

 

[keyPairAttr setObject:(id)kSecAttrKeyTypeRSA

forKey:(id)kSecAttrKeyType]; // 5

[keyPairAttr setObject:[NSNumbernumberWithInt:1024]

forKey:(id)kSecAttrKeySizeInBits]; // 6

 

[privateKeyAttr setObject:[NSNumbernumberWithBool:YES]

forKey:(id)kSecAttrIsPermanent]; // 7

[privateKeyAttr setObject:privateTag

forKey:(id)kSecAttrApplicationTag]; // 8

 

[publicKeyAttr setObject:[NSNumbernumberWithBool:YES]

forKey:(id)kSecAttrIsPermanent]; // 9

[publicKeyAttr setObject:publicTag

forKey:(id)kSecAttrApplicationTag]; // 10

 

[keyPairAttr setObject:privateKeyAttr

forKey:(id)kSecPrivateKeyAttrs]; // 11

[keyPairAttr setObject:publicKeyAttr

forKey:(id)kSecPublicKeyAttrs]; // 12

 

status = SecKeyGeneratePair((CFDictionaryRef)keyPairAttr,

&publicKey, &privateKey); // 13

//    error handling…

 

 

if(privateKeyAttr) [privateKeyAttr release];

if(publicKeyAttr) [publicKeyAttr release];

if(keyPairAttr) [keyPairAttr release];

if(publicKey) CFRelease(publicKey);

if(privateKey) CFRelease(privateKey);                      // 14

}

在这段代码中:

定义公／私钥id的字符串变量，以便后面使用。

定义dictionary，用于传递SecKeyGeneratePair函数中的第1个参数。

把第1步中定义的字符串转换为NSData对象。

为公／私钥对准备SecKeyRef对象。

设置密钥对的密钥类型为RSA。

设置密钥对的密钥长度为1024。

设置私钥的持久化属性（即是否存入钥匙串）为YES。

把1－3步中的identifier放到私钥的dictionary中。

设置公钥的持久化属性（即是否存入钥匙串）为YES。

把1－3步中的identifier放到公钥的dictionary中。

把私钥的属性集（dictionary）加到密钥对的属性集（dictionary）中。

把公钥的属性集（dictionary）加到密钥对的属性集（dictionary）中。

产生密钥对。

释放无用对象。

你可以把公钥发送给任何人，他们可以用它来加密数据。假设你安全地保存了私钥，则只有你能解密这些数据。以下代码演示如何用公钥加密数据。可以用从设备上产生的公钥（见后面代码），或者从证书中提取的公钥（发送给你的证书或者已经在钥匙串中的证书）。用SecTrustCopyPublicKey函数可以从证书中提取公钥。下面假设这个密钥由设备产生并已放到钥匙串中。

列表 2-9  用公钥加密数据

– (void)encryptWithPublicKey

{

OSStatus status = noErr;

 

size_t cipherBufferSize;

uint8_t *cipherBuffer;                    // 1

 

// [cipherBufferSize]

const uint8_t nonce[] = “the quick brownfox jumps

over the lazy dog/0”; // 2

 

SecKeyRef publicKey = NULL;                                // 3

 

NSData * publicTag = [NSDatadataWithBytes:publicKeyIdentifier

length:strlen((const char *)publicKeyIdentifier)]; // 4

 

NSMutableDictionary *queryPublicKey =

[[NSMutableDictionary alloc] init]; // 5

 

[queryPublicKey setObject:(id)kSecClassKeyforKey:(id)kSecClass];

[queryPublicKey setObject:publicTagforKey:(id)kSecAttrApplicationTag];

[queryPublicKey setObject:(id)kSecAttrKeyTypeRSAforKey:(id)kSecAttrKeyType];

[queryPublicKey setObject:[NSNumbernumberWithBool:YES] forKey:(id)kSecReturnRef];

//6

 

status = SecItemCopyMatching

((CFDictionaryRef)queryPublicKey, (CFTypeRef*)&publicKey); // 7

 

// Allocate a buffer

 

cipherBufferSize = cipherBufferSize(publicKey);

cipherBuffer = malloc(cipherBufferSize);

 

// Error handling

 

if (cipherBufferSize < sizeof(nonce)) {

// Ordinarily, you wouldsplit the data up into blocks

// equal tocipherBufferSize, with the last block being

// shorter. Forsimplicity, this example assumes that

// the data is shortenough to fit.

printf(“Could notdecrypt.  Packet toolarge./n”);

return;

}

 

// Encrypt using the public.

status = SecKeyEncrypt(    publicKey,

kSecPaddingPKCS1,

nonce,

(size_t) sizeof(nonce)/sizeof(nonce[0]),

cipherBuffer,

&cipherBufferSize

);                             //8

 

// Error handling

// Store or transmit the encrypted text

 

if(publicKey) CFRelease(publicKey);

if(queryPublicKey) [queryPublicKeyrelease];               // 9

free(cipherBuffer);

}

在这段代码中:

定义缓存，用于放入加密文本。

指定要加密的文本。

定义SecKeyRef，用于公钥。

定义NSData对象，存储公钥的identifier（见列表 2-8的第1、3、8步），该id在钥匙串中唯一。

定义dictionary，用于从钥匙串中查找公钥。

设置dictionary的键－值属性。属性中指定，钥匙串条目类型为“密钥”，条目identifier为第4步中指定的字符串，密钥类型为RSA，函数调用结束返回查找到的条目引用。

调用SecItemCopyMatching函数进行查找。

加密数据， 返回结果用PKCS1格式对齐。

释放不用的变量。

The following code sample shows how todecrypt data. This sample uses the private key corresponding to the public keyused to encrypt the data, and assumes you already have the cipher text createdin the preceding example. It gets the private key from the keychain using thesame technique as used in the preceding example to get the public key.

下面代码演示如何解密。本例采用与加密数据的公钥对的私钥进行解密，并且密文为上面例子中的加密结果。从钥匙串中获取私钥，采用与上例相同的技术。

 

列表 2-10  用私钥解密

– (void)decryptWithPrivateKey

{

OSStatus status = noErr;

 

size_t plainBufferSize;;

uint8_t *plainBuffer;

 

SecKeyRef privateKey = NULL;

 

NSData * privateTag = [NSDatadataWithBytes:privateKeyIdentifier

length:strlen((const char *)privateKeyIdentifier)];

 

NSMutableDictionary *queryPrivateKey = [[NSMutableDictionaryalloc] init];

 

// Set the private key query dictionary.

[queryPrivateKey setObject:(id)kSecClassKeyforKey:(id)kSecClass];

[queryPrivateKey setObject:privateTagforKey:(id)kSecAttrApplicationTag];

[queryPrivateKeysetObject:(id)kSecAttrKeyTypeRSA forKey:(id)kSecAttrKeyType];

[queryPrivateKey setObject:[NSNumbernumberWithBool:YES] forKey:(id)kSecReturnRef];

// 1

 

status = SecItemCopyMatching

((CFDictionaryRef)queryPrivateKey, (CFTypeRef *)&privateKey); // 2

 

if (plainBufferSize < cipherBufferSize) {

// Ordinarily, you wouldsplit the data up into blocks

// equal toplainBufferSize, with the last block being

// shorter. Forsimplicity, this example assumes that

// the data is shortenough to fit.

printf(“Could notdecrypt.  Packet toolarge./n”);

return;

}

 

// Allocate the buffer

plainBufferSize =SecKeyGetBlockSize(privateKey);

plainBuffer = malloc(plainBufferSize)

 

// Error handling

 

status = SecKeyDecrypt(    privateKey,

kSecPaddingPKCS1,

cipherBuffer,

cipherBufferSize,

plainBuffer,

&plainBufferSize

);                             // 3

 

// Error handling

// Store or display the decrypted text

 

if(publicKey) CFRelease(publicKey);

if(privateKey) CFRelease(privateKey);

if(queryPublicKey) [queryPublicKey release];

if(queryPrivateKey) [queryPrivateKeyrelease];             // 4

}

在这段代码中:

准备dictionary，用于从钥匙串查找私钥。

在钥匙串中找到私钥。

解密数据。

释放无用的变量。