https信任证书的三种方

最新推荐文章于 2024-04-25 15:56:26 发布
最新推荐文章于 2024-04-25 15:56:26 发布
阅读量1.6k 收藏
点赞数
分类专栏: ios 文章标签: ios

苦逼的我调试AFNetworking发送https请求的bug ---------调试了一个上午,终于解决了


证书信任的过程:

证书的信任是通过代理的方式进行信任(NSURLConnection和NSURLSession两种方式进行信任)
客户端信任证书的过程:
1.当客户端要访问服务器的时候,服务器向客户端发送受保护的信任证书
2.客户端判断是否对客户端发送的证书进行信任,,
3.如果信任.则客户端会安装公钥在客户端,而服务器就拥有受保护证书的密钥,每一次向服务器请求数据的时候,服务器会先将要发送的数据进行密钥加密,客户端对所传数据通过公钥解密


下面分享一下自己的经验:

一开始请求数据先要信任证书,然后才能请求数据,不过对于百度,apple官网这样的大网站就不需要信任证书了,

只需要信任一次服务器证书

在信任证书的时候有两种方式:

大家熟知的有NSURLSession和NSURLConnection两种信任证书的方式,我会重点将第三种:

如果不信任证书的话会报下面的错误:

// NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9843)

一.NSURLSession的方式信任证书是通过代理的方式:

1.先懒加载全局的会话:

[objc]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. @property (nonatomicstrongNSURLSession *session;  
  2. - (NSURLSession *)session {  
  3.     if (_session == nil) {  
  4.         NSURLSessionConfiguration *config = [NSURLSessionConfiguration defaultSessionConfiguration];  
  5.         _session = [NSURLSession sessionWithConfiguration:config delegate:self delegateQueue:nil];  
  6.     }  
  7.     return _session;  
  8. }  

2.发起数据任务

[objc]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. // url  
  2.    NSURL *url = [NSURL URLWithString:@"https://域名"];  
  3.      
  4.    // 发起数据任务  
  5.    [[self.session dataTaskWithURL:url completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {  
  6.        NSLog(@"%@---%@",response,[[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding]);  
  7.    }] resume];  

3.代理方法中实现证书的信任-----------

[objc]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. - (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task  
  2. didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge  
  3.  completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler {  
  4.     /* 
  5.      <NSURLProtectionSpace: 0x7fef2b686e20>:  
  6.      Host:mail.itcast.cn,  
  7.      Server:https,  
  8.      Auth-Scheme:NSURLAuthenticationMethodServerTrust, 
  9.      */  
  10.     // 判断是否是信任服务器证书  
  11.     if(challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust) {  
  1.  // 告诉服务器,客户端信任证书  
  2.         // 创建凭据对象  
  3.         NSURLCredential *credntial = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];  
  4.         // 通过completionHandler告诉服务器信任证书  
  5.         completionHandler(NSURLSessionAuthChallengeUseCredential,credntial);  
  6.     }  
  7.     NSLog(@"protectionSpace = %@",challenge.protectionSpace);  
  8. }  


二.NSURLConnection的方式信任证书也是通过代理的方式:

1.发送请求:

[objc]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. // url  
  2. NSURL *url = [NSURL URLWithString:@"https://mail.itcast.cn"];  
  3.   
  4. // request  
  5. NSURLRequest *request = [NSURLRequest requestWithURL:url];  
  6.   
  7. // 发送请求  
  8. [NSURLConnection connectionWithRequest:request delegate:self];  

2.信任证书
[objc]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. #pragma mark - NSURLConnectionDataDelegate 代理方法  
  2. - (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {  
  3.     // 判断是否是信任服务器证书  
  4.     if(challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust) {  
  5.         // 告诉服务器,客户端信任证书  
  6.         // 创建凭据对象  
  7.         NSURLCredential *credntial = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];  
  8.         // 告诉服务器信任证书  
  9.         [challenge.sender useCredential:credntial forAuthenticationChallenge:challenge];  
  10.     }  
  11. }  
3.获取请求到的数据
[objc]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. - (void)connection:(NSURLConnection *)connection didReceiveData:(NSData *)data {  
  2.     NSLog(@"data = %@",[[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding]);  
  3. }  

三.AFNetworking的方式信任服务器证书:

先上代码:
[objc]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];  
  2. manager.securityPolicy.validatesDomainName = NO;  
  3. manager.responseSerializer = [AFHTTPResponseSerializer serializer];  
  4.   manager.responseSerializer.acceptableContentTypes = [NSSet setWithObjects:@"application/json"@"text/json"@"text/javascript",@"text/html", nil nil];  
  5. [manager GET:@"https://域名" parameters:nil progress:^(NSProgress * _Nonnull downloadProgress) {  
  6.     NSLog(@"%@",downloadProgress);  
  7. } success:^(NSURLSessionDataTask * _Nonnull task, id  _Nullable responseObject) {  
  8.     NSLog(@"%@---%@",[responseObject class],responseObject);  
  9.     NSLog(@"%@",[[NSString alloc]initWithData:responseObject encoding:NSUTF8StringEncoding]);  
  10. } failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {  
  11.     NSLog(@"%@",error);  
  12. }];  


注意解释遇到的坑:
1.https的协议直接请求的时候会报下面的错:

NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9843)


2.设置属性
不能将 validatesDomainName设置为NO,当设置为NO以后可以发出任意的请求,所以要将其设置为YES(默认是YES)-----重点

manager.securityPolicy.validatesDomainName =YES;

AFNetworking 的安全相關設定放在 AFSecurityPolicy,它定義了三種 SSL Pinning Mode:

  • AFSSLPinningModeNone : 你不必將憑證跟你的 APP 一起打包,完全信任伺服器的憑證
  • AFSSLPinningModeCertificate : 比對伺服器憑證跟你的憑證是否完全匹配
  • AFSSLPinningModePublicKey : 只比對伺服器憑證的 public key 跟你的憑證的 public key 是否匹配

那要選用何種模式比較好呢?

AFSSLPinningModeCertificate 比較安全但也比較麻煩,它會比對你打包的憑證跟伺服器的憑證是否一致。因為你的憑證是跟 APP 一起打包的,這也就代表說如果你的憑證過期了或是變動了,你就得出一版新的 APP 而且舊版 APP 的憑證就失效了。你也可以在每次 APP 啟動時,就自動連到某個伺服器下載最新的憑證,不過此時這個下載連線就會是有風險的。

AFSSLPinningModePublicKey 則是只有比對憑證裡的 public key,所以即使伺服器憑證有所變動,只要 public key 不變,就能通過驗證。

所以如果你能確保每個使用者總是使用最新版本的 APP(例如是公司企業內部專用的),那就可以考慮 AFSSLPinningModeCertificate,否則的話選擇 AFSSLPinningModePublicKey 是比較實際的作法。


解决了证书信任的问题,也就是说设置上面的属性以后就可以信任证书了


但是问题没有解决:越到了经常遇到的问题,就是请求的数据打印有问题,

Error Domain=com.alamofire.error.serialization.response Code=-1016 "Request failed: unacceptable content-type: text/html" 


原因:

这是因为 AFNetworking默认把响应结果当成json来处理,(默认manager.responseSerializer = [AFJSONResponseSerializer serializer]) ,很显然,我们请求的百度首页 返回的并不是一个json文本,而是一个html网页,但是AFNetworking并不知道,它坚信请求的结果就是一个json文本!然后固执地以json的形式去解析,显然没办法把一个网页解析成一个字典或者数组,所以产生了上述错误.

然而,我们期望它能够正确地处理这个情形,而不是提示一个错误. 
这时候 你必须告诉AFNetworking:别把这个网页当json来处理! 

解决办法:

只需要在发送请求前加入:manager.responseSerializer = [AFHTTPResponseSerializer serializer]


以上步骤就可以实现https证书的信任和正确的获取例如baidu.com首页的html的源码...


附加说明:

网页上加载的数据本质是字符串,我们将获取到的网页数据通过二进制转字符串的形式可以讲网页数据进行打印:

 NSLog(@"%@",[[NSStringalloc]initWithData:responseObjectencoding:NSUTF8StringEncoding]);






有了上面的解决办法是不是不知道如何获取凭证能,别急,下面添加如何获取制定域名的凭证:

参考链接:

http://nelson.logdown.com/posts/2015/04/29/how-to-properly-setup-afnetworking-security-connection/


BoolBear
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何添加https证书.docx
03-20
为了尽可能避免安全问题,公司的很多系统服务都逐步https化,虽然开始过程会遇到各种问题,但趋势不改。最完美的https应用是能实现双向认证,客户端用私钥签名用服务端公钥加密,服务端用私钥签名客户端都公钥加密,但现实很多情况不可能让每个客户端都申请一个证书,因此只实现https的单项认证,即只要服务端又证书,客户端只验证https证书可靠就可进行https通信。在某些情况下为了不花钱买第三信任机构颁发都证书,客户端在一些情况下也不做服务器端都认证,两边只实现htts的加密通信。
AF 配置https证书,防止被抓包
bellazhouyi的专栏
09-28 2831
SSL证书配置
AFNetworking 框架小结 六 (AFSecurityPolicy)
集腋成裘
02-24 612
AFSecurityPolicy 在 AFNetworking 框架中,可以使用 AFSecurityPolicy 类来设置 SSL 安全连接时的校验策略。在客户端应用中添加遵循 X.509 标准的数字证书, 并在与服务器建立安全连接时校验服务器传递的安全信息,这种式可以有效避免中间人攻击等风险。 AFSecurityPolicy 的校验选项 AFSSLPinningMode三种: ...
验证 HTTPS 请求的证书(五)
season
06-24 957
验证 HTTPS 请求的证书(五) 自 iOS9 发布之后,由于新特性 App Transport Security 的引入,在默认行为下是不能发送 HTTP 请求的。很多网站都在转用 HTTPS,而 AFNetworking 中的 AFSecurityPolicy 就是为了阻止中间人攻击,以及其它漏洞的工具。 AFSecurityPolicy 主要作用就是验证 HTTPS 请求的证书
什么是 HTTPS证书信任链?自己给自己发行不行?
hebiwen95的博客
08-06 3477
HTTPS 就是在 TCP 和 HTTP 之间加了一个 SSL 或者叫 TLS 层,实现了加密、身份认证、防篡改的功能。为了增加随机性,每次都要生成密钥来做加解密,传输这个密钥需要用到非对称加密的公私钥机制。公钥加密的内容只有私钥能解开,防止被窃取。私钥只有一个人有,所以加密的内容可以用作身份认证,也就是签名。对内容做 hash,然后私钥签名,就能做到完整性校验,防止被篡改。但是如何保证拿到的公钥一定是对的,这是个复杂的问题。...
https信任证书三种
热门推荐
瑞军的博客
05-24 3万+
苦逼的我调试AFNetworking发送https请求的bug ---------调试了一个上午,终于解决了   证书信任的过程:   证书信任是通过代理的式进行信任(NSURLConnection和NSURLSession两种式进行信任) 客户端信任证书的过程: 1.当客户端要访问服务器的时候,服务器向客户端发送受保护的信任证书 2.客户端判断是否对客户端发送的证书进行信任,...
https是如何通过颁发证书来保证信息传输安全的?
weixin_44512485的博客
08-04 127
需要注意的是,浏览器在校验证书链时,会依赖于操作系统或浏览器内置的受信任的根证书颁发机构(Root Certificate Authority,Root CA)。这个过程中,服务器的 SSL/TLS 证书扮演着非常重要的角色,它不仅提供了服务器的公钥,还通过数字签名验证了服务器的身份。这样,你的浏览器就可以确保它正在与正确的服务器通信,而不是一个恶意的伪装服务器。当访问一个使用 HTTPS 的网站(如 https://as.com),你的本地系统(通常是你的浏览器)将会从该网站的服务器获取公钥。
服务器添加https信任证书
tanzhming的专栏
07-25 2776
springboot集成mail遇到的证书问题的解决
局域网安全的https协议解决
u010721688的博客
01-30 2316
我们在有域名、有公网ip的情况下通常直接在域名管理中可以申请ssl证书,利用nginx可以做到安全的https协议,有时候我们需要将局域网内的服务地址也要做成https协议,如果直接利用nginx转发443端口,访问时会告警,提示不安全的地址,需要手动点一下才能进入网站,非常不便。
局域网https安全证书解决案mkcert
wangyun381974024的博客
10-17 5099
https安全证书解决案mkcert
DoITrust:用于演示在 iOS 8+ 中进行信任评估后检索 MDM 配置文件根证书的 POC 应用程序
07-01
为了证明对其他根的第三应用程序的信任,您需要通过设备上的移动配置文件安装它们。 这可以通过 Apple Configurator 完成,可从 Mac App Store 免费获得(不再有 Windows 版本)。 只需将根证书添加到配置文件并...
把小黄鸟HttpCanary证书装成系统证书(需要配合面具)
08-05
对应软件不信任第三证书,这大概是最一劳永逸的法了,你不是只信任系统证书,不信任用户证书吗?那我就把自定义证书装成系统证书。 解锁手机 Bootloader 刷入第三 Recovery(例如 TWRP) 下载官 Magisk 包...
证书服务器配置与管理.pptx
06-10
证书一般由可信的权威第三CA中心(权威授权机构)颁发, CA 对其颁发的证书进行数字签名,以保证所颁发证书的完整性和可鉴别性。 CA可以为用户、计算机或服务等各类实体颁发证书证书服务器配置与管理全文共33...
UKca证书安装包下载
02-12
证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构。是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三,承担公钥体系中公钥的合法性检验的责任
iOS(Object C) 冒泡排序
wyz670083956的博客
04-22 306
iOS(Object C) 冒泡排序;1.将index=0和index=1的值进行比较, 2.如果index=0 > index=1,则互换他俩的位置 3.如果index0 < index=1, 则数组保持不变 4.以此类推,第二次比较的两个值为 index1 和 index2
Delta模拟器:iOS上的复古游戏天堂
最新发布
1687F
04-25 196
Delta模拟器是一款专为iOS设备设计的模拟器应用,它支持多种经典游戏机的模拟,如Game Boy、Game Boy Color、Game Boy Advance、Super NES等。通过Delta模拟器,我们可以在iPhone或iPad上轻松运行这些经典游戏机的游戏ROM,无需额外的硬件设备。Delta模拟器为iOS用户提供了一个重温经典游戏的机会。通过它,我们可以轻松地在iPhone或iPad上运行那些曾经让我们为之疯狂的游戏。无论是怀旧还是探索新的游戏体验,Delta模拟器都是一个值得尝试的选择。
12.6.1 实验5:IOS恢复
IT_zhangsan
04-25 871
如果工作中不慎误删除路由器IOS,或者升级了错误版本的IOS,导致路由器不能正常启动,动,可以通过COPY式恢复IOS,也可以通过TFTPDNLD恢复IOS,还可以用Xmodem式通过Console端口恢复IOS,然而由于Console端口的速率很慢,除非万不得已,否则很少有人采用。需要注意的是,如果误删除了1OS,请不要将路由器关机或者重启,这样可以直接使用COPY式从TFTP服务器恢复 IOS,这比起上述其他2种法都简单。打开如图12-9所示窗口,选择IOS文件,单击【发送】按钮发送文件。
Web前端开发——Ajax,Axios概述及在Vue框架中的使用
快乐学习,daydayup!
04-16 633
Web前端开发——Ajax,Axios概述及在Vue框架中的使用
axios 实现上传、下载
天高任鸟飞
04-22 337
【代码】axios 实现上传、下载。
https ca证书
09-02
您想了解有关 HTTPS CA 证书的信息吗?HTTPS CA 证书是用于加密和验证网站...一般来说,购买和安装 HTTPS CA 证书需要与受信任的第三 CA 进行联系和审核。 希望这能回答您的问题。如果您有其他问题,请随时提问!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值