Ho una domanda veloce. Sviluppo app iOS per più client. Ogni cliente ha i propri account Apple e io creo i certificati per loro dalla mia macchina. La mia domanda qui è possibile utilizzare lo stesso file CSR per creare certificati per diverse società? Grazie.Possiamo utilizzare lo stesso CSR per creare certificati per diverse società?
Sì, tecnicamente è possibile utilizzare la stessa richiesta di firma del certificato per creare più certificati per più aziende, chiaramente la richiesta di certificato deve essere caricata dall'account sviluppatore corretto.
Il CSR contiene infatti la chiave pubblica del richiedente che verrà utilizzata dalla CA (in questo caso Apple) per creare il certificato richiesto. È possibile visualizzare il contenuto utilizzando il comando openssl:
openssl req -text -noout -verify -in CertificateSigningRequest.certSigningRequest
Ma come utente giustamente osservato in un commento, tutti i certificati saranno legati alla stessa chiave privata (una coppia di chiavi pubblica/privata è infatti rigenerato ogni volta che crei un CSR) e questo potrebbe portare a una sicurezza ridotta se la macchina che richiede il certificato viene compromessa. Alcuni servizi richiedono un CSR univoco per ogni generazione di certificato, ma al momento questo non viene applicato da Apple che consente di riutilizzare lo stesso CSR. Questa separazione CSR è particolarmente utile per la creazione dei certificati di distribuzione e dei certificati di produzione APNS.
Grande. Grazie. – EmptyStack
Sì, è possibile farlo, ma si interrompe intenzionalmente uno dei molti livelli dei meccanismi di sicurezza che proteggono la firma del codice. Le coppie di chiavi vengono generate solo quando si costruisce un CSR, non ogni volta che si invia il CSR ad Apple, quindi ciascuna compagnia finisce usando la stessa coppia di chiavi che sfonda la compartimentazione PKI. Prendi i 30 secondi in più e rigenera la coppia di chiavi ogni volta che richiedi un nuovo certificato; i tuoi clienti ti ringraziano se la tua macchina da lavoro viene compromessa e devi riemettere i certificati per tutti i tuoi clienti. –
Ottima spiegazione. Grazie. –