ios https 安全证书配置

最新推荐文章于 2022-10-25 17:19:34 发布
最新推荐文章于 2022-10-25 17:19:34 发布
阅读量648 收藏
点赞数
文章标签: 移动开发 json
原文链接:http://www.cnblogs.com/soulDn/p/9663424.html
版权

原定于2017年1月1日起所有提交到 App Store 的App必须强制开启 ATS,需要配置Https。但是现在不需要了,无固定期限的往后延期了,但是这个还是得弄明白下为好,说不定哪天突然就让弄了。
一、 2017年1月1日起所有提交到 App Store 的App必须强制开启 ATS。
就是要求去掉 Info.plist 的 NSAllowsArbitraryLoads
1.这要求所有通过APP发送的网络请求都需要https

2.开启ATS,图片(例如图像的URL)等静态文件的url需要用https,否则会无法加载;

3.对于H5,网页浏览和视频播放的行为,iOS 10 中新加入了NSAllowsArbitraryLoadsInWebContent 键。通过将它设置为 YES ,
可以让你的 app 中的 WKWebView 和使用 AVFoundation 播放的在线视频不受 ATS 的限制。
这也应该是绝大多数使用了相关特性的 app 的选择。但是坏消息是这个键在 iOS 9 中并不会起作用.

4.iOS9中可以选择使用 NSExceptionDomains 来针对特定的域名开放 HTTP 应该要相对容易过审核。“需要访问的域名是第三方服务器,他们没有进行 HTTPS 对应”会是审核时的一个可选理由,但是这应该只需要针对特定域名,而非全面开放。如果访问的是自己的服务器的话,可能这个理由会无法通过。是需要在Info.plist 配置中的XML源码

 <key>NSAppTransportSecurity</key>  
 <dict> <key>NSExceptionDomains</key> <dict> <key>XXX.com</key> <dict> <!--适用于这个特定域名下的所有子域--> <key>NSIncludesSubdomains</key> <true/> <!--扩展可接受的密码列表:这个域名可以使用不支持 forward secrecy 协议的密码--> <key>NSExceptionRequiresForwardSecrecy</key> <false/> <!--允许App进行不安全的HTTP请求--> <key>NSExceptionAllowsInsecureHTTPLoads</key> <true/> <!--在这里声明所支持的 TLS 最低版本--> <key>NSExceptionMinimumTLSVersion</key> <string>TLSv1.1</string> </dict> </dict> </dict>

二、 目前项目中用到的第三方已经支持https的有

WKWebView  
UIWebView  
SDWebImage  
 支付宝SDK  
 微信支付SDK  
 友盟SDK  
 极光推送SDK  
其中用到的UIWebView 以后要逐步替换为WKWebView

上面内容参考于:http://blog.csdn.net/zhangmengleiblog/article/details/53536956

三、下面是在AFN中配置实例:
+ (AFSecurityPolicy*)customSecurityPolicy
{
// /先导入证书
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"hgcang" ofType:@"cer"];//证书的路径
NSData *certData = [NSData dataWithContentsOfFile:cerPath];

// AFSSLPinningModeCertificate 使用证书验证模式
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];

// allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO
// 如果是需要验证自建证书,需要设置为YES
securityPolicy.allowInvalidCertificates = YES;

//validatesDomainName 是否需要验证域名,默认为YES; //假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。 //置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。 //如置为NO,建议自己添加对应域名的校验逻辑。 securityPolicy.validatesDomainName = NO; securityPolicy.pinnedCertificates = @[certData]; return securityPolicy; }

将上面的方法添加到我们AFN请求数据中
+ (void)post:(NSString *)url params:(NSDictionary *)params success:(void (^)(id))success failure:(void (^)(NSError *))failure
{
// 1.获得请求管理者
AFHTTPRequestOperationManager *mgr = [AFHTTPRequestOperationManager manager];
// 2.申明返回的结果是text/html类型
mgr.responseSerializer = [AFHTTPResponseSerializer serializer];

// 加上这行代码,https ssl 验证。
//[mgr setSecurityPolicy:[self customSecurityPolicy]];

// 3.发送POST请求
[mgr POST:url parameters:params
  success:^(AFHTTPRequestOperation *operation, id responseObj) {
      if (success) { success(responseObj); } } failure:^(AFHTTPRequestOperation *operation, NSError *error) { if (failure) { failure(error); } }]; }

上面参考于 http://blog.csdn.net/canlanyangg/article/details/53559597 这篇文章。
四.关于证书 参考文章:http://www.2cto.com/Article/201510/444706.html
服务端给的是crt后缀的证书,其中iOS客户端用到的cer证书,是需要开发人员转换:
1.证书转换
在服务器人员,给你发送的crt证书后,进到证书路径,执行下面语句

openssl x509 -in 你的证书.crt -out 你的证书.cer -outform der

这样你就可以得到cer类型的证书了。双击,导入电脑。
2.证书放入工程
1、可以直接把转换好的cer文件拖动到工程中。
2、可以在钥匙串内,找到你导入的证书,单击右键,导出项目,就可以导出.cer文件的证书了

参考链接:http://www.jianshu.com/p/97745be81d64

五.在info.plist去掉之前允许http加载的代码 就是删除下面的代码(么有的就省了这一步)

<key>NSAppTransportSecurity</key>  
<dict> <key>NSAllowsArbitraryLoads</key> <true/> </dict>

六、可能出现的问题:
6.1服务器可能出现的问题:

Error Domain=NSURLErrorDomain Code=-1200 "发生了 SSL 错误,无法建立与该服务器的安全连接。" UserInfo=    {NSURLErrorFailingURLPeerTrustErrorKey=<SecTrustRef:     0x15dd87140>, NSLocalizedRecoverySuggestion=您仍要连接此服务器吗?, _kCFStreamErrorDomainKey=3, _kCFStreamErrorCodeKey=-9802, NSErrorPeerCertificateChainKey=<CFArray 0x15df6b640 [0x1a08d5150]>{type = immutable, count = 1, values = ( 0 : <cert(0x15f3559e0) s: dbh i: dbh> )}, NSUnderlyingError=0x15dd5f770 {Error Domain=kCFErrorDomainCFNetwork Code=-1200 "(null)" UserInfo={_kCFStreamPropertySSLClientCertificateState=0, kCFStreamPropertySSLPeerTrust=<SecTrustRef: 0x15dd87140>, _kCFNetworkCFStreamSSLErrorOriginalValue=-9802, _kCFStreamErrorDomainKey=3, _kCFStreamErrorCodeKey=-9802, kCFStreamPropertySSLPeerCertificates=<CFArray 0x15df6b640 [0x1a08d5150]>{type = immutable, count = 1, values = ( 0 : <cert(0x15f3559e0) s: dbh i: dbh> )}}}, NSLocalizedDescription=发生了 SSL 错误,无法建立与该服务器的安全连接。, NSErrorFailingURLKey=https://192.168.1.138/app/login/login.json, NSErrorFailingURLStringKey=https://192.168.1.138/app/login/login.json, NSErrorClientCertificateStateKey=0}

可能是服务器配置的证书不对,苹果要求是TLS1.2,服务端配置是TLS1.0。
也有可能是后台签名算法问题 https://my.oschina.net/vimfung/blog/494687
6.2、证书一定要拉到项目里面,AFN加了验证之后,看看获取证书的certData是否为空。如果为空,则证书有问题
NSData *certData = [NSData dataWithContentsOfFile:cerPath];



转载于:https://www.cnblogs.com/soulDn/p/9663424.html

baikan6930
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MUI-ios添加白名单/配置URL schemes
wa172126691的博客
06-08 2423
ios添加白名单 打开应用的manifest.json文件,切换到代码视图,在plus -&gt; distribute -&gt; apple 下添加urlschemewhitelist节点,数据如下: "urlschemewhitelist":[ "baidumap", "iosamap" ] 数组中的字符串为要调用第三方app的urlscheme,最多可支持添加50...
IOS开发 支持https请求以及ssl证书配置详解
08-31
本文将详细讲解如何在iOS应用中支持HTTPS请求以及SSL证书配置。 首先,我们来看一下证书的准备步骤: 1. **证书转换**:通常,服务器管理员会提供一个.crt格式的SSL证书。你可以使用`openssl`工具将其转换为.cer...
iOS 基于AFNetworking下自签名证书配置的方法
01-20
自从https推出以后,客户端对网络安全的要求程度也越来越高。甚至在iOS9之后,苹果强制要求必须支持https请求。 https是什么呢?它又是如何保证数据安全的呢? 简单来说,https就是http+TLS/SSL。就是在http上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,也就说传输中的数据都是加密的,如果不知道私钥,是无法真正知道传输内容的真正意思的。 整个https单向验证流程简单总结如下: 就是用户发起请求,服务器响应后返回一个证书证书中包含一些基本信息和公钥。 用户拿到证书后,去验证这个证书是否合法,不合法,则请求终止。 合法则生
iOS 修改HTTPS 添加白名单 ; 直接进行http访问
jhq2214的博客
11-20 5836
由于iOS9 更新,限制HTTP协议的访问,需要在info.list中设置白名单才能检测其他程序是否安装。 当你的应用在iOS9 中需要使用QQ/QQ空间/支付宝/微信 SDK 时,需要在info.list中添加如下代码: LSApplicationQueriesSchemes             微信 URL Scheme 白名单-->         wechat  
关于iOS10需要支持https才能通关苹果App Store审核问题
qq_31901919的博客
11-30 6345
苹果在今年发布会上发出2017年1月1日最后期限,所有app需支持https
iOS Https白名单,NSExceptionDomains设置了没反应解决办法
wangjie33589的博客
06-30 2361
2016.12.18 10:59:06字数 32阅读 1,994 只需要设置NSTemporaryExceptionAllowsInsecureHTTPLoads这个参数就可以了 网上看到有很多参数的设置最后都没反应 <key>NSAppTransportSecurity</key> <dict> <key>NSExceptionDomains</key> <dict> <key>...
webview白名单
白龙的博客
05-23 1473
1.添加白名单验证的时机 1.loadurl 2.shouldOverRideUrlLoading 3.如果需要对白名单进行安全等级划分,还需要在JavascriptInterface中加入校验函数,JavascriptInterface中需要使用webview.getUrl()来获取webview当前所在域 风险提示: 上面这些都做了还有可能被攻击,比如白名单中的服务器存在XSS漏洞,或者白名单中的服务器被攻击者控制,或者webview访问没有采用安全的传输通道导致被中间人劫持等,都可以在白名单信任域中注
iOS 企业证书管理规范
04-26
* 证书生成流程:首先确定 identifier,证书配置文件命名要规范,方便分类查找,然后生成 P12 和 profile 文件 证书更新 证书有效期是一个自然年,管理员需要在收到提醒账号充值邮件后,提醒每个项目开发证书...
iOS适配https证书问题(AFNetworking3.0为例)
08-31
总的来说,适配iOSHTTPS证书主要涉及证书的获取、转换和应用,以及AFNetworking的安全策略配置。正确配置这些步骤,可以确保你的应用在使用AFNetworking时能够安全地与HTTPS服务器进行通信。希望这个教程对你有所...
详解Nginx服务器和iOSHTTPS安全通信
08-30
在网络安全日益重要的今天,Nginx服务器和iOS设备之间的HTTPS安全通信显得至关重要。HTTPS协议是HTTP的安全版本,它结合了SSL/TLS协议,提供数据加密、服务器身份验证以及消息完整性检查,有效防止中间人攻击、窃听...
iOS中WKWebView白屏问题的分析与解决
08-29
最近在工作中遇到了WKWebView白屏的问题,所以这篇文章主要给大家介绍了关于iOS中WKWebView白屏问题的分析与解决方法,文中通过示例代码介绍的非常详细,对同样遇到这个问题的朋友具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
IOS,Android SSL双向认证HTTPS方式请求及配置证书
12-19
本文将详细介绍`IOS`和`Android`平台上如何实现`SSL`双向认证以及配置证书。 首先,理解`SSL`双向认证的概念。常规的`SSL`单向认证中,服务器会验证客户端的身份,但客户端并不验证服务器的身份。而在双向认证中,...
手机如何添加域名白名单_苹果手机如何添加或删除桌面小组件?一教你就会
weixin_32758601的博客
01-15 1208
iphone苹果手机在桌面上可以添加一些小组件,其实也是一种快速方式,方便快速使用,前提是在手机里存在的应用软件, 并且这些小组件也是可以添加或删除的,那么具体如何操作呢,接下来看教程。步骤一:打开iPhone苹果手机,进入到主界面,向右滑动界面,然后就会显示小组件的桌面,点击界面上的编辑选项。步骤二:接着就会进入到widget小组件界面,界面上部有个红圈标识的就是当前已经存在的小组件,下方绿圈标...
iOS9.0适配
weixin_34082177的博客
09-19 250
2019独角兽企业重金招聘Python工程师标准>>> ...
苹果4如何添加时间插件_苹果手机如何添加九键或26键输入法?iPhone怎样快速切换输入法?...
weixin_39680678的博客
11-18 214
苹果手机用户到今天来说还是有很多的。对于输入法的选择,有人喜欢九宫格,有人喜欢26键,也有喜欢手写输入,也有些喜欢笔画输入、五笔输入法的。你喜欢哪种输入法呢?你知道怎样添加苹果手机的输入法吗?如何快速切换输入法?如果你不知道,下面就带你解开这些疑惑。iPhone如何添加输入法?进入手机【设置】——【通用】——【键盘】点击【键盘】——【添加新键盘】点击你要添加的键盘,这里以手写键盘为例,点击【中文简...
手机如何添加域名白名单_手机图片如何添加时间、地点?按一下这个按钮,就能一键添加...
weixin_31830389的博客
01-13 698
手机图片如何添加时间、地点?按一下这个功能,就能一键添加经常在朋友圈里面看到好友发送的视频,里面有地点图片、还有好看的文字,这么这些特效都是怎样添加的呢?其实很简单,笔者今天全部教给你。方法一手机自带(安卓手机)一般手机里面都有一个功能叫做"水印"功能,一般打开相机都是隐藏在"右上角一栏",打开之后打开"水印"功能,就能发现下方有显示的时间、地点、天气、心情、美食、运动等等栏目。可以手动进行添加地...
iOS 域名白名单 NSExceptionDomains配置
boaosady的博客
10-25 1678
iOS 域名白名单:Error Domain=NSURLErrorDomain Code=-1200 "An SSL error has occurred and a secure connection to the server cannot be made."
App Transport Security(ATS)
zongzi4302的博客
09-18 585
App Transport Security
网络请求配置
莫忘精彩
09-12 453
编辑 info.plist,加入如下设置:         ....     NSAppTransportSecurity              NSAllowsArbitraryLoads
jmeter录制iOS脚本时证书配置
最新发布
08-19
对于JMeter录制iOS脚本时的证书配置,你需要完成以下步骤: 1. 在你的iOS设备上安装并信任所使用的SSL证书。你可以通过以下方式完成: - 将证书文件发送到你的iOS设备上,然后在设备上打开证书文件进行安装。 - 通过邮件或其他方式将证书文件发送给自己,在设备上打开邮件并安装证书。 2. 在JMeter中配置代理服务器以便录制HTTPS请求。在JMeter中,选择"Options" > "SSL Manager"。然后点击"Clear"按钮清除已有的证书,再点击"Start"按钮生成新的证书。 3. 在iOS设备上配置代理服务器。在iOS设备中,进入"设置" > "无线局域网" > "选择当前连接的WiFi网络" > "HTTP代理"。选择"手动"并输入你计算机的IP地址和JMeter设置的代理端口号。 4. 在JMeter中,通过选择"Options" > "Proxy Server"来配置代理服务器。输入代理服务器的端口号,并确保"Capture HTTP Headers" 和 "Capture HTTPS Headers" 选项被选中。 5. 启动JMeter的代理服务器。在JMeter中,选择 "Options" > "Start" 或者点击工具栏上的 "Start" 按钮。 6. 在iOS设备上使用你想要测试的应用程序,并确保所有的网络请求都经过了JMeter代理服务器。 7. 在JMeter中,选择"Recording Controller",然后点击工具栏上的 "Start" 按钮开始录制。 这样,JMeter就会开始录制你的iOS应用程序的网络请求,并将其保存为JMX脚本文件。请注意,录制期间可能会出现证书安全提示,请按照提示进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值