https信任证书的三种方式

最新推荐文章于 2024-05-11 12:20:22 发布
最新推荐文章于 2024-05-11 12:20:22 发布
阅读量3.5w 收藏 13
点赞数 9
分类专栏: https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_34613936/article/details/51490032
版权

苦逼的我调试AFNetworking发送https请求的bug ---------调试了一个上午,终于解决了

 

证书信任的过程:

 

证书的信任是通过代理的方式进行信任(NSURLConnection和NSURLSession两种方式进行信任)

客户端信任证书的过程:

1.当客户端要访问服务器的时候,服务器向客户端发送受保护的信任证书

2.客户端判断是否对客户端发送的证书进行信任,,

3.如果信任.则客户端会安装公钥在客户端,而服务器就拥有受保护证书的密钥,每一次向服务器请求数据的时候,服务器会先将要发送的数据进行密钥加密,客户端对所传数据通过公钥解密

 

 

下面分享一下自己的经验:

一开始请求数据先要信任证书,然后才能请求数据,不过对于百度,apple官网这样的大网站就不需要信任证书了,

只需要信任一次服务器证书

在信任证书的时候有两种方式:

大家熟知的有NSURLSession和NSURLConnection两种信任证书的方式,我会重点将第三种:

如果不信任证书的话会报下面的错误:

 

// NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9843)

// 原因:没有信任证书

 

一.NSURLSession的方式信任证书是通过代理的方式:

 

1.先懒加载全局的会话:

@property (nonatomic, strong) NSURLSession *session;
- (NSURLSession *)session {
    if (_session == nil) {
        NSURLSessionConfiguration *config = [NSURLSessionConfiguration defaultSessionConfiguration];
        _session = [NSURLSession sessionWithConfiguration:config delegate:self delegateQueue:nil];
    }
    return _session;
}


2.发起数据任务

 

 

 // url
    NSURL *url = [NSURL URLWithString:@"https://域名"];
    
    // 发起数据任务
    [[self.session dataTaskWithURL:url completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {
        NSLog(@"%@---%@",response,[[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding]);
    }] resume];


3.代理方法中实现证书的信任-----------

 

 

- (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
 completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler {
    /*
     <NSURLProtectionSpace: 0x7fef2b686e20>: 
     Host:mail.itcast.cn, 
     Server:https, 
     Auth-Scheme:NSURLAuthenticationMethodServerTrust,
     */
    // 判断是否是信任服务器证书
    if(challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust) {
        // 告诉服务器,客户端信任证书
        // 创建凭据对象
        NSURLCredential *credntial = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
        // 通过completionHandler告诉服务器信任证书
        completionHandler(NSURLSessionAuthChallengeUseCredential,credntial);
    }
    NSLog(@"protectionSpace = %@",challenge.protectionSpace);
}

 

 

 

 

 

 

二.NSURLConnection的方式信任证书也是通过代理的方式:

1.发送请求:

 

    // url
    NSURL *url = [NSURL URLWithString:@"https://mail.itcast.cn"];
    
    // request
    NSURLRequest *request = [NSURLRequest requestWithURL:url];
    
    // 发送请求
    [NSURLConnection connectionWithRequest:request delegate:self];


2.信任证书

#pragma mark - NSURLConnectionDataDelegate 代理方法
- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {
    // 判断是否是信任服务器证书
    if(challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust) {
        // 告诉服务器,客户端信任证书
        // 创建凭据对象
        NSURLCredential *credntial = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
        // 告诉服务器信任证书
        [challenge.sender useCredential:credntial forAuthenticationChallenge:challenge];
    }
}


3.获取请求到的数据

- (void)connection:(NSURLConnection *)connection didReceiveData:(NSData *)data {
    NSLog(@"data = %@",[[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding]);
}

 

三.AFNetworking的方式信任服务器证书:

先上代码:

    AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
    manager.securityPolicy.validatesDomainName = NO;
    manager.responseSerializer = [AFHTTPResponseSerializer serializer];
//    manager.responseSerializer.acceptableContentTypes = [NSSet setWithObjects:@"application/json", @"text/json", @"text/javascript",@"text/html", nil];
    [manager GET:@"https://域名" parameters:nil progress:^(NSProgress * _Nonnull downloadProgress) {
        NSLog(@"%@",downloadProgress);
    } success:^(NSURLSessionDataTask * _Nonnull task, id  _Nullable responseObject) {
        NSLog(@"%@---%@",[responseObject class],responseObject);
        NSLog(@"%@",[[NSString alloc]initWithData:responseObject encoding:NSUTF8StringEncoding]);
    } failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {
        NSLog(@"%@",error);
    }];

 

注意解释遇到的坑:

1.https的协议直接请求的时候会报下面的错:

NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9843)

 

2.设置属性

不能将validatesDomainName设置为NO,当设置为NO以后可以发出任意的请求,所以要将其设置为YES(默认是YES)-----重点

 

manager.securityPolicy.validatesDomainName =YES;

AFNetworking 的安全相关设定放在 AFSecurityPolicy,它定义了三种 SSL Pinning Mode:

  • AFSSLPinningModeNone : 你不必将凭证跟你的 APP 一起打包,完全信任伺服器的凭证
  • AFSSLPinningModeCertificate : 比对伺服器凭证跟你的凭证是否完全匹配
  • AFSSLPinningModePublicKey : 只比对伺服器凭证的 public key 跟你的凭证的 public key 是否匹配

 

那要选用何种模式比较好呢?

AFSSLPinningModeCertificate 比较安全但也比较麻烦,它会比对你打包的凭证跟伺服器的凭证是否一致。因为你的凭证是跟 APP 一起打包的,这也就代表说如果你的凭证过期了或是变动了,你就得出一版新的 APP 而且旧版 APP 的凭证就失效了。你也可以在每次 APP 启动时,就自动连到某个伺服器下载最新的凭证,不过此时这个下载连线就会是有风险的。

AFSSLPinningModePublicKey 则是只有比对凭证裡的 public key,所以即使伺服器凭证有所变动,只要 public key 不变,就能通过验证。

所以如果你能确保每个使用者总是使用最新版本的 APP(例如是公司企业内部专用的),那就可以考虑 AFSSLPinningModeCertificate,否则的话选择 AFSSLPinningModePublicKey 是比较实际的作法。

 

解决了证书信任的问题,也就是说设置上面的属性以后就可以信任证书了

 

但是问题没有解决:越到了经常遇到的问题,就是请求的数据打印有问题,

 

Error Domain=com.alamofire.error.serialization.response Code=-1016 "Request failed: unacceptable content-type: text/html" 

 

原因:

 

这是因为 AFNetworking默认把响应结果当成json来处理,(默认manager.responseSerializer = [AFJSONResponseSerializer serializer]) ,很显然,我们请求的百度首页 返回的并不是一个json文本,而是一个html网页,但是AFNetworking并不知道,它坚信请求的结果就是一个json文本!然后固执地以json的形式去解析,显然没办法把一个网页解析成一个字典或者数组,所以产生了上述错误.

然而,我们期望它能够正确地处理这个情形,而不是提示一个错误. 
这时候 你必须告诉AFNetworking:别把这个网页当json来处理! 


解决办法:

只需要在发送请求前加入:manager.responseSerializer = [AFHTTPResponseSerializer serializer]

 

 

以上步骤就可以实现https证书的信任和正确的获取例如baidu.com首页的html的源码...

 

附加说明:

网页上加载的数据本质是字符串,我们将获取到的网页数据通过二进制转字符串的形式可以讲网页数据进行打印:

 

 NSLog(@"%@",[[NSStringalloc]initWithData:responseObjectencoding:NSUTF8StringEncoding]);



 

 

有了上面的解决办法是不是不知道如何获取凭证能,别急,下面添加如何获取制定域名的凭证:

参考链接:

http://nelson.logdown.com/posts/2015/04/29/how-to-properly-setup-afnetworking-security-connection/

 

取得安全凭证

1. 确认有使用安全连线

如果你跟远端伺服器是透过 HTTP 连线,那就不是安全连线,如果是 HTTPS 那就是安全连线。

2. 准备好网站的安全凭证

接下来我们需要凭证档(Certification file),它的副档名是 .cer,你可以跟你们的网站管理员询问,通常他们都知道怎麽拿到这个档桉。

如果你的网站管理员没有 .cer 档,只有 .crt 档,那你可以透过以下这行指令转档,要注意的是它是採用 DER 编码格式(请自行将 myWebsite 替换成你想要的名字):

openssl x509 -in myWebsite.crt -out myWebsite.cer -outform der

如果很不幸的,你的网站管理员连 .crt 档都没有,那你也可以使用下列这一整行指令从你们的网站取得凭证(请自行将 www.mywebsite.com 替换成你们的网址):

openssl s_client -connect www.mywebsite.com:443 </dev/null 2>/dev/null | openssl x509 -outform DER > myWebsite.cer

现在你有一个凭证档了。

3. 将凭证加入你的专桉

将你的凭证拖拉放到 Xcode 专桉底下,记得要把 Copy items if needed 跟 Add to targets 打勾

 

KeinRain
关注
  • 9
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
什么是 HTTPS证书信任链?自己给自己发行不行?
hebiwen95的博客
08-06 3523
HTTPS 就是在 TCP 和 HTTP 之间加了一个 SSL 或者叫 TLS 层,实现了加密、身份认证、防篡改的功能。为了增加随机性,每次都要生成密钥来做加解密,传输这个密钥需要用到非对称加密的公私钥机制。公钥加密的内容只有私钥能解开,防止被窃取。私钥只有一个人有,所以加密的内容可以用作身份认证,也就是签名。对内容做 hash,然后私钥签名,就能做到完整性校验,防止被篡改。但是如何保证拿到的公钥一定是对方的,这是个复杂的问题。...
Android okhttp3.0忽略https证书的方法
08-28
另一种是自己制作的证书,这种证书需要在代码中设置为信任证书。 二、OkHttp 3.0 忽略 HTTPS 证书的方法 在 OkHttp 3.0 中,我们可以通过自定义的 SSLSocketFactory 和 HostnameVerifier 来忽略 HTTPS 证书。下面...
mkcert自制SSL本地证书部署到Nginx并https信任使用
04-28
mkcert自制SSL本地证书部署到Nginx并https信任使用
访问HTTPS请求遇到SSL信任问题
zkz1041158481的博客
11-16 1483
在Java编程中,请求远程https链接的时候,如果报了这个错误该如何解决呢? // javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to re.
2024年最全Google 出品的 Java 编码规范,强烈推荐,权威又科学!,2024年最新350道Golang面试真题分享
2401_84925367的博客
05-11 421
很可能它会提示你调整周围代码的空白来使这一堆代码重新水平对齐(比如程序员想保持这种水平对齐的风格), 这就会让你做许多的无用功,增加了reviewer的工作并且可能导致更多的合并冲突。在一个switch块内,每个语句组要么通过 break,continue,return或抛出异常来终止,要么通过一条注释来说明程序将继续执行到下一个语句组, 任何能表达这个意思的注释都是OK的(典型的是用 // fall through)。每当开始一个新的块,缩进增加2个空格,当块结束时,缩进返回先前的缩进级别。
Android信任Https自签名证书详细教程
hyhlmy的博客
04-04 8655
Android信任自签名证书前言问题描述环境准备生成自签名证书搭建tomcat服务器tomcat配置证书代码实现信任所有证书(不推荐)信任指定证书导入自签名证书信任自签名证书代码总结示例代码地址 前言 在上一篇 一文读懂Https原理 中,我主要介绍了Https的安全机制和实现原理,比较偏向于理论研究,可能会有点抽象。为了加深理解,今天写一篇Https的实战教程,主要介绍Https在Android...
https下的证书信任
若泣、
09-08 1096
package org.jiahao.weixin.util; import java.security.cert.CertificateException; import java.security.cert.X509Certificate; import javax.net.ssl.X509TrustManager; /** * 自定义信任管理器类 * @author Alvin
https信任所有证书
nz360的专栏
01-11 1743
public static class WebClientDevWrapper { public static org.apache.http.client.HttpClient wrapClient(org.apache.http.client.HttpClient base) { try { SSLContext
Java中用HttpsURLConnection访问Https链接的问题
清风徐来,水波不兴--郭见伟的blog
08-14 911
在web应用交互过程中,有很多场景需要保证通信数据的安全;在前面也有好多篇文章介绍了在Web Service调用过程中用WS-Security来保证接口交互过程的安全性,值得注意的是,该种方式基于的传输协议仍然是Http,采用这种方式可扩展性和数据交互效率比较高;另外一种实现方式
服务器添加https信任证书
tanzhming的专栏
07-25 2835
springboot集成mail遇到的证书问题的解决方案
android https遇到自签名证书/信任证书
05-05
总结,处理Android HTTPS中的自签名证书信任证书问题,需要在代码层面进行信任策略调整,或者通过设备管理方式导入信任证书。同时,开发者应当重视安全问题,避免在生产环境中使用自签名证书。在实际项目中,应该...
java开发https请求ssl不受信任问题解决方法
08-28
解决这个问题有两种方法:获得目标机器的有效证书或忽略证书信任问题。 获得目标机器的有效证书 获得目标机器的有效证书是解决 SSL 不受信任问题的最好方法。我们可以使用 InstallCert.java 程序来安装目标机器的...
解决无法将这个证书验证到一个受信任证书颁发机构方法
11-14
3. **检查证书指纹**:核对收到的证书指纹与预期的指纹是否一致,防止中间人攻击。如果不一致,证书可能已被篡改,应立即停止通信并报告问题。 4. **更新系统信任根**:操作系统和浏览器维护一个受信任的根证书列表...
java 授信证书_java https client信任所有证书
weixin_29614359的博客
02-16 495
package httpsclient;import java.io.IOException;import java.util.List;import java.util.ArrayList;import org.apache.http.HttpEntity;import org.apache.http.HttpResponse;import org.apache.http.client.Clie...
Https信任证书申请与非信任证书生成方式,适用于TLS双向安全校验
KEEP LOOKING DON'T SETTLE
12-16 2760
IOS禁用HTTP,IOS停用HTTP,TLS证书生成,HTTPS证书生成
服务器证书怎么提高网站的信任度?
聚名网
10-14 147
首先要要归功于第三方认证。就是依托工信部颁发的电子认证许可证的非政府机构,建立规范的审核流程,对企业主体,主体负责人,进行技术层面,语音层面核实,留档等,从而实现主体具有法定效力的认证。相关资料数据显示,通过对近三年有过服务器证书和没有用过服务器证书的规模一样的50家企业进行对比发现,拥有服务器证书的官网在浏览量以及客户停留的时间上都比没有服务器证书的官网多了平均60%,同时业绩也多了近乎平均30%。最后是身份可视化,将证书信息可视化化,能够看到企业的工商注册信息,能够很好的让客户查询企业的真实性。
HttpsURLConnection访问HTTPS链接时信任所有证书
monoria的专栏
10-13 3514
使用HttpsURLConnection访问HTTPS链接时一般需要引入证书,否则会产生异常。 但是也可以使用信任所有证书方式来达到访问的目的。public class SslUtils { private static void trustAllHttpsCertificates() throws Exception { TrustManager[] trustAllC
https信任证书三种
u013406800的专栏
05-31 1642
苦逼的我调试AFNetworking发送https请求的bug ---------调试了一个上午,终于解决了 证书信任过程: 证书信任是通过代理的方式进行信任(NSURLConnection和NSURLSession两种方式进行信任) 客户端信任证书过程: 1.当客户端要访问服务器的时候,服务器向客户端发送受保护的信任证书 2.客户端判断
HTTPS|SSL笔记-SSL双向认证失败(客户端证书信任库不含服务端证书)握手过程(含wireshark分析)
IT1995的博客
09-07 1650
这里我把客户端证书信任库里面清空,及没放服务端证书,Java报错不一样,但抓包是一样的,在此记录下过程。 1. 前3个包是TCP三次握手,在此不解析,对应的包如下: 2.握手成功后,客户端发送自己支持的加密套,和随机数给服务端,也就是Client Hello 具体内容如下: 其中Random为随机数,其Handshake Type为Client Hello。CIpher Suites为加密套。signature_algorithms为签名算法这里可以。 3. 服务...
fiddler https证书无法信任
最新发布
06-06
Fiddler是一个流行的网络调试工具,它允许开发者查看、修改和记录HTTP/HTTPS流量。当您遇到Fiddler的HTTPS证书无法信任的情况,通常是因为Fiddler使用的是自签名证书,这是因为它在本地生成,而非由受信任证书颁发机构(CA)签发。 1. **自签名证书**:Fiddler的证书不是由标准的证书颁发商颁发,而是由Fiddler软件自己创建,这使得浏览器认为该证书不受信任,因为它们不满足浏览器内置的安全标准。 2. **解决方法**: - **临时禁用证书检查**:可以在浏览器设置中暂时忽略Fiddler的证书错误,但这并不是长期解决方案,对于生产环境尤其不建议。 - **安装Fiddler证书**:作为开发者,您可以将Fiddler的证书添加到浏览器的受信任证书存储,使其成为可信任来源。这通常涉及导入证书、管理证书存储等步骤,具体取决于你的浏览器类型(如Chrome、Firefox或Edge)。 - **使用Fiddler提供的证书**:Fiddler提供了一个工具(FiddlerCert.exe)来请求证书签发,但需要一些网络管理员权限。 3. **相关问题--:** 1. 为什么浏览器会拒绝自签名证书? 2. 如何在Windows系统中安装自签名证书? 3. 如何通过FiddlerCert.exe申请正式证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值