解决 xmpp ios 终端不能正常建立 TLS 连接的问题

最新推荐文章于 2023-02-25 20:31:55 发布
最新推荐文章于 2023-02-25 20:31:55 发布
阅读量5k 收藏
点赞数

先看一下正常流程:

TLS 的使用

概览

XMPP包含的一个保证流安全的方法来防止篡改和偷听.这个传输层安全协议[TLS]的频道加密方法, 模拟了类似的其他"STARTTLS"(见 RFC 2595 [USINGTLS])的扩展,如 IMAP [IMAP], POP3 [POP3], and ACAP [ACAP]."STARTTLS"的扩展名字空间是'urn:ietf:params:xml:ns:xmpp-tls'.
一个给定域的管理员可以(MAY)要求客户端和服务器通信以及服务器之间通信时使用TLS,或者两者都要求。客户端应该(SHOULD)在尝试完成 SASL (第六章)握手之前使用 TLS,服务器应该(SHOULD)在两个域之间使用 TLS 以保证服务器间通信的安全。
以下是使用规则:
  1. 一个遵守本协议的初始化实体必须(MUST)在初始化流的头信息中包含一个'version'属性并把值设为“1.0”。
  2. 如果TLS握手发生在两个服务器之间,除非服务器声称的DNS主机名已经被解析(见第十四章第四节 Server-to-Server Communications),通信不能(MUST NOT)继续进行。
  3. 当一个遵守本协议的接收实体接收了一个初始化流(它的头信息中包含一个'version'属性并且值设为“1.0”),在发送应答流的的头信息(其中包含版本标记)之后,它必须发送(MUST)<starttls/>元素(名字空间为 'urn:ietf:params:xml:ns:xmpp-tls')以及其他它支持的流特性 。
  4. 如果初始化实体选择使用TLS,TLS握手必须在SASL握手之前完成;这个顺序用于帮助保护SASL握手时发送的认证信息的安全,同时可以在必要的时候在TLS握手之前为SASL外部机制提供证书。
  5. TLS握手期间,一个实体不能(MUST NOT)在流的根元素中发送任何空格符号作为元素的分隔符(在下面的TLS示例中的任何空格符都仅仅是为了便于阅读);这个禁令用来帮助确保安全层字节精度。
  6. 接收实体必须(MUST)在发送<proceed/> 元素的关闭符号">" 之后立刻开始TLS协商。初始化实体必须(MUST)在从接收实体接收到<proceed/> 元素的关闭符号">" 之后立刻开始TLS协商。
  7. 初始化实体必须(MUST)验证接收实体出示的证书;关于证书验证流程参见Certificate Validation ( 第十四章第二节)。
  8. 证书必须(MUST)检查初始化实体(比如一个用户)提供的主机名;而不是通过DNS系统解析出来的主机名;例如,如果用户指定一个主机名"example.com"而一个DNS SRV [SRV]查询返回"im.example.com",证书必须(MUST)检查"example.com".如果任何种类的XMPP实体(例如客户端或服务器)的JID出现在一个证书里,它必须(MUST)表现为一个别名实体里面的UTF8字符串,存在于subjectAltName之中。如何使用 [ASN.1] 对象标识符 "id-on-xmppAddr" 定义在本文的第五章第一节第一小节。
  9. 如果 TLS 握手成功了,接收实体必须(MUST) 丢弃TLS 生效之前从初始化实体得到的任何不可靠的信息.
  10. 如果 TLS 握手成功了,初始化实体必须(MUST) 丢弃TLS 生效之前从接收实体得到的任何不可靠的信息.
  11. 如果 TLS 握手成功了,接收实体不能(MUST NOT)在流重新开始的时候通过提供其他的流特性来向初始化实体提供 STARTTLS 扩展.
  12. 如果 TLS 握手成功了,初始化实体必须(MUST)继续进行SASL握手。
  13. 如果 TLS 握手失败了,接收实体必须(MUST)终止XML流和相应的TCP连接。
  14. 关于必须(MUST)支持的机制,参照 Mandatory-to-Implement Technologies (第十四章第七节) 。



xmppframework 开启TLS:

搜索 handleStreamFeatures , 查看里面的代码,它是根据服务器提供的 features 来决定是否启动TLS的。如果服务器没有设置 require TLS ,而你又想要有,则可以直接修改IF判断。


错误处理

如果TLS建立之初连接就被断开了,网络错误提示为: Error Domain=NSOSStatusErrorDomain Code=-9807 "The operation couldn’t be completed. (OSStatus error -9807.)"

那么在 willSecureWithSettings 的函数里面,设置 settings 的属性:

// Allow self-signed certificates
[settings setObject:[NSNumber numberWithBool:YES]
 forKey:(NSString *)kCFStreamSSLAllowsAnyRoot];


参考:

网络的错误编码对应的意义。 SecureTransport.h   在  /System/Library/Frameworks/ Security.framework   :
enum {
  errSSLProtocol                  = -9800,  /* SSL protocol error */
  errSSLNegotiation               = -9801,  /* Cipher Suite negotiation failure */
  errSSLFatalAlert                = -9802,  /* Fatal alert */
  errSSLWouldBlock                = -9803,  /* I/O would block (not fatal) */
  errSSLSessionNotFound           = -9804,  /* attempt to restore an unknown session */
  errSSLClosedGraceful            = -9805,  /* connection closed gracefully */
  errSSLClosedAbort               = -9806,  /* connection closed via error */
  errSSLXCertChainInvalid         = -9807,  /* Invalid certificate chain */
  errSSLBadCert                   = -9808,  /* bad certificate format */
  errSSLCrypto                    = -9809,  /* underlying cryptographic error */
  errSSLInternal                  = -9810,  /* Internal error */
  errSSLModuleAttach              = -9811,  /* module attach failure */
  errSSLUnknownRootCert           = -9812,  /* valid cert chain, untrusted root */
  errSSLNoRootCert                = -9813,  /* cert chain not verified by root */
  errSSLCertExpired               = -9814,  /* chain had an expired cert */
  errSSLCertNotYetValid           = -9815,  /* chain had a cert not yet valid */
  errSSLClosedNoNotify            = -9816,  /* server closed session with no notification */
  errSSLBufferOverflow            = -9817,  /* insufficient buffer provided */
  errSSLBadCipherSuite            = -9818,  /* bad SSLCipherSuite */
  /* fatal errors detected by peer */
  errSSLPeerUnexpectedMsg         = -9819,  /* unexpected message received */
  errSSLPeerBadRecordMac          = -9820,  /* bad MAC */
  errSSLPeerDecryptionFail        = -9821,  /* decryption failed */
  errSSLPeerRecordOverflow        = -9822,  /* record overflow */
  errSSLPeerDecompressFail        = -9823,  /* decompression failure */
  errSSLPeerHandshakeFail         = -9824,  /* handshake failure */
  errSSLPeerBadCert               = -9825,  /* misc. bad certificate */
  errSSLPeerUnsupportedCert       = -9826,  /* bad unsupported cert format */
  errSSLPeerCertRevoked           = -9827,  /* certificate revoked */
  errSSLPeerCertExpired           = -9828,  /* certificate expired */
  errSSLPeerCertUnknown           = -9829,  /* unknown certificate */
  errSSLIllegalParam              = -9830,  /* illegal parameter */
  errSSLPeerUnknownCA             = -9831,  /* unknown Cert Authority */
  errSSLPeerAccessDenied          = -9832,  /* access denied */
  errSSLPeerDecodeError           = -9833,  /* decoding error */
  errSSLPeerDecryptError          = -9834,  /* decryption error */
  errSSLPeerExportRestriction     = -9835,  /* export restriction */
  errSSLPeerProtocolVersion       = -9836,  /* bad protocol version */
   errSSLPeerInsufficientSecurity  = -9837,  /* insufficient security */
  errSSLPeerInternalError         = -9838,  /* internal error */
  errSSLPeerUserCancelled         = -9839,  /* user canceled */
  errSSLPeerNoRenegotiation       = -9840,  /* no renegotiation allowed */

  /* more errors detected by us */
  errSSLHostNameMismatch          = -9843,  /* peer host name mismatch */
  errSSLConnectionRefused         = -9844,  /* peer dropped connection before responding */
  errSSLDecryptionFail            = -9845,  /* decryption failure */
  errSSLBadRecordMac              = -9846,  /* bad MAC */
  errSSLRecordOverflow            = -9847,  /* Record Overflow */
  errSSLBadConfiguration          = -9848,  /* configuration error */
  errSSLLast                      = -9849   /* end of range, to be deleted */
};



// Allow expired certificates
[settings setObject:[NSNumber numberWithBool:YES]
 forKey:(NSString *)kCFStreamSSLAllowsExpiredCertificates];

// Allow self-signed certificates
[settings setObject:[NSNumber numberWithBool:YES]
 forKey:(NSString *)kCFStreamSSLAllowsAnyRoot];

// In fact, don't even validate the certificate chain
[settings setObject:[NSNumber numberWithBool:NO]
 forKey:(NSString *)kCFStreamSSLValidatesCertificateChain];

参考自  https://groups.google.com/forum/#!topic/xmppframework/K2iIPX1f3lM


天占
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
IOS XMPP 聊天程序客户端
07-16
关于Jabber的XMPP聊天程序客户端,详细见http://blog.csdn.net/kangkangz4/article/details/7750765
Error Domain=NSOSStatusErrorDomain Code=-9807
night sun
06-14 1841
Client 端连接服务器时会有时会遇到一下错误: Error Domain=NSOSStatusErrorDomain Code=-9807 "The operation couldn’t be completed. (OSStatus error -9807.)" UserInfo=0xaeaae0 -9807 对应的错误描述为:errSSLXCertChainI...
iOS的ATS配置那些事
张梦磊
12-16 1091
iOS的ATS配置   一、ATS是什么? ATS(App Transport Security)是为了提高App与服务器之间安全传输数据一个特性,这个特性从iOS9和OSX10.11开始出现,它默认需要满足以下几个条件: 1、服务器TLS版本至少是1.2版本; 2、连接加密只允许几种先进的加密; 3、证书必须使用SHA256或者更好
阿里云环境中TLS/SSL握手失败的场景分析
迷失蒲公英
02-25 1254
上面总结了很多握手失败的场景,一个有趣的现象是:失败的原因可能各不相同,但是抓包的结果大部分都比较一致,即客户端发的一个TLS/SSL握手包被服务器FIN/RST掉。对于这类问题的排查和分析,抓包分析仅仅只是一个线索,更加关键的是需要理解TLS/SSL握手整个过程中的细节以及当前场景中的网络链路,比如链路中有没有安全设备,代理,有没有使用双向验证,Keyless等等。
OSStatus所有枚举值的含义,比如kCFStreamErrorDomainSSL, -9824,-25299
qq_15509071的博客
12-14 7753
这些错误码是在系统框架Security/SecureTransport.h中定义的。 CF_ENUM(OSStatus) { errSSLProtocol = -9800, /* SSL protocol error */ errSSLNegotiation = -9801, /* Cipher Suite negotiati
AVAudioPlayer 的 Error Domain=NSOSStatusErrorDomain Code=-10875 "未能完成操作。(“OSStatus”错误 -10875。)"
热门推荐
Capacity_bo的专栏
04-08 1万+
今天在做一个项目,因为要播放一个音频,就选择用 AVAudioPlayer来来做,因为以前用过,也没有注意太多后来就直接写,但是写好之后运行看效果,怎么也播放不出来,本来是因为本地音频文件有问题,后来重新找一个文件然后在播放,还是出现同样的问题. 用这段代码,以前是正常的,现在就不可以了,(网上还有好多开发人员用该方式是没有问题) - (void)playRuningDista
ios xmpp demo
06-24
ios xmpp demo
xmpp for ios(iPhone源代码)
05-11
来源:Licence:Eclipse Public License平台:iOS设备:iPhone / iPad作者:Dawn_wdf  基于xmpp的即时通讯(需要配置openfire)。包括注册新用户,连接,获取朋友列表,文字通讯和语音通讯。其中保存朋友列表和...
xmpp_ios_demo
03-31
即时通讯,使用xmpp协议,做了一个ios 的demo,里面只是简单写了下连接、登录、获取好友,收发信息,没有做界面。还有一个 openfire 和 spark 安装包,方便自己动手搭建服务器和模拟另一客户端,测试通讯。服务器...
如何修复SSL/TLS握手失败
yuyan_jia的博客
08-24 1万+
https://segmentfault.com/a/1190000021559557 此文主要内容翻译至博客How to Fix the SSL/TLS Handshake Failed Error?,并做了一些添加,修改和删除. 当浏览器向web服务器(如Apache)发送一个安全的请求时,ssl/tls握手过程就开始了.ssl/tls错误时有发生,其中最常见的错误就是SSL Handshake Failed error.下面我们就来讲解什么是SSL/TLS握手失败,以及如何解决. SSL/TLS
iOS - 第三方库SKPSMTPMessage的各种坑
weixin_34025151的博客
05-20 971
因为最近公司业务需求,需要用到静默方式发送邮件的功能,所以接触到了SKPSMTPMessage这个第三方库。话说iOS有关SMTP封装的第三方库真的好少惹,仅有的这么一个库还年久失修,网上的资料也较少而且很多有误的,导致使用过程中真的遇到了非常多的坑,所以在这里跟大家分享一下我使用过程中遇到的问题解决方案,希望对大家有所帮助,如有不对的地方欢迎指正哈。比心❤️
WKWebview 的SSL异常
u012413955的博客
10-27 2992
webview的SSL异常是webview加载失败的重要原因之一,因此有必要对此进行较为全面的监控。我们的业务中关于webview的SSL异常监控起初是这样做的: 监控的位置: 时机一:数据加载过程中出错 - (void)webView:(WKWebView *)webView didFailProvisionalNavigation:(null_unspecified WKNavigat...
iOS. Xcode7.1中在请求HTTP时报错的解决方法
代码解释生活
05-29 1031
在新版的Xcode7.1中在请求HTTP的时候总会报一些错误,只要有http的请求都会报错,在iOS9 中,苹果将原http协议改成了https协议,使用 TLS1.2 SSL加密请求数据报的错大概是有2种第一种:App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insec...
https请求 CFNetwork SSLHandshake failed (-9807) A connection failure occurred: SSL problem
ZhengYanFeng1989的博客
04-11 4473
利用ASIHttpRequest,通过https进行网络请求,返回CFNetwork SSLHandshake failed (-9807)错误 或者报一下错误 A connection failure occurred: SSL problem (Possible causes may include a bad/expired/self-signed c
解决:SSL negotiation failed: SSL error: parse tlsext (https://localhost)
sky3366的专栏
04-09 632
搭建的svn代码提交到一半的时候出现这个错误: SSL negotiation failed: SSL error: parse tlsext (https://localhost) 解决办法: 是因为 TLSv1 协议的问题,不知是 OpenSSL 的 bug 还是 Subversion 的 bug,总之无法正常工作。 解决方案:我用的是VisualSVN服务器,打开安装目录在con...
SSL negotiation failed: SSL error: parse tlsext
weixin_33735077的博客
02-01 158
Apache/Subversion: SSL negotiation failed: SSL error: parse tlsext 今天收到了同事一封关于svn报错的信息 今天提交代码到一半报错。 SSL negotiation failed: SSL error: parse tlsext 查了下,是因为 TLSv1 协议的问题,不知是 OpenSSL 的 bug...
java基于xmpp协议,长连接,消息收发示例代码
最新发布
03-29
以下是基于Smack库实现的Java示例代码,用于建立XMPP连接并发送和接收消息: 建立连接: ``` // 创建连接配置 XMPPTCPConnectionConfiguration config = XMPPTCPConnectionConfiguration.builder() ....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值