È possibile estrarre i certificati di firma del codice (CSC) da un file .app o firmato .dmg come ASN.1 (DER) con
codesign -d --extract-certificates prefix /path/to/file.dmg
Dopo puoi fare tutto con openssl
, security
ecc.
Il mio obiettivo è quello di fare lo stesso per gli archivi xip firmati , che utilizzano Certificati di firma del pacchetto di installazione (IPSC). È possibile verificare le firme xip con
pkgbuild --check-signature /path/to/archive.xip
Ma non sembra esserci un'opzione per esportare effettivamente i certificati nel modo in cui codesign può farlo con CSC.
C'è un modo per farlo dalla riga di comando?
L'obiettivo finale è quello di gestire gli archivi xip firmati con IPSC autofirmati / autoprodotti. Sarà uno script che prima controlla la firma con pkgbuild
, quindi, se l'utente lo desidera, dovrebbe esportare i certificati e quindi aggiungerli al portachiavi come attendibile. So che puoi sempre dequarantine il file xip con il certificato autofirmato, e questa sarà un'opzione aggiuntiva, ma questa è sempre su base per-file, quindi deve esserci anche la possibilità di estrarre i certificati (root / leaf) e importarli in keychain come trusted (o trusted root). Come farò quest'ultimo non lo so ancora, ma la prima cosa è la prima.
Grazie per il tuo aiuto. (Questo è il mio primo post su AskDifferent.)