笔者的https改造之路,在此写下过程,以备笔者和读者查阅。
本文接:搭建tomcat云服务器
一、HTTPS简单说明
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https: URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。
二、HTTPS和HTTP的主要区别
1、https协议需要到ca申请证书,一般免费证书很少,需要交费。
2、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
三、App Transport Security
iOS9中新增App Transport Security(简称ATS)特性, 主要使到原来请求的时候用到的HTTP,都转向TLS1.2协议进行传输。这也意味着所有的HTTP协议都强制使用了HTTPS协议进行传输。
一般我们如果还是使用的http,不更新的话,可通过在 Info.plist 中声明,倒退回不安全的网络请求。
四、获取证书
HTTPS改造的关键就是证书。网上很多关于HTTP改HTTPS方法所用的证书基本上都是使用的自签证书,笔者刚开始也想用自签解决这个问题,这种方法虽然是可以解决HTTPS通信的问题,但随之又带来了另一个问题:使用自签证书的话是否能通过苹果的审核呢?苹果有官方信任的证书 iOS 9 中可用的受信任根证书列表 ,对于自签证书的审核能否通过暂不得知,所以笔者还是建议能使用官方信任的证书上架。网上也有一些可以免费申请的证书如startssl等,笔者的证书是上淘宝买的,反正不贵,一年也就三十几块钱,而且还省心。淘宝上购买ssl证书时,证书需要绑定域名(不能绑定IP),所以笔者又到阿里云上购买了一个.cc的域名,一年十几块钱,然后将域名和服务器IP绑定起来,具体的购买和绑定方法网上搜搜有很多的,这里不再赘述。
五、tomcat服务器改造
拿到证书后,就可以将证书安装到服务器上了。笔者使用的是tomcat服务器,对于服务器的安装配置,请查看笔者的博客:搭建tomcat云服务器 ,对于tomcat的配置很简单,下面一句话搞定,修改server.xml(apache-tomcat-7.0.73/conf/server.xml),取消下面这句话的注释并配置自己证书的路径和密码就可以了:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLSv1.2" keystoreFile="/home/jacedy/tomcat/apache-tomcat-7.0.73/你的证书名.jks" keystorePass="123456" />
由于笔者使用的是CentOS 7系统,所以还需开放8443端口:
firewall-cmd --zone=public --add-port=8443/tcp --permanent
firewall-cmd --reload
六、iOS客户端通过HTTPS方式访问服务器
笔者iOS客户端的通信框架使用的是AFNetworking 3.1,需要将之前URL使用的IP地址换成域名就可以了,另外还要将证书以cer的格式加入到工程中:
// https配置
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"certificate" ofType:@"cer"];
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate withPinnedCertificates:[[NSSet alloc] initWithObjects:certData, nil]];
[securityPolicy setAllowInvalidCertificates:NO];
NSSet *dataSet = [[NSSet alloc] initWithObjects:certData, nil];
[securityPolicy setPinnedCertificates:dataSet];
[securityPolicy setValidatesDomainName:YES];
好了,总算讲完了,到此笔者已经成功将HTTP请求方式改成了HTTPS。
如果喜欢请点赞!如果有疑问请留言^_^