首先上自签证书AFN需要修改的代码:
+ (AFSecurityPolicy*)customSecurityPolicy
{
// /先导入证书
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"xxxx" ofType:@"cer"];//证书的路径
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
// AFSSLPinningModeCertificate 使用证书验证模式
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
// allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO
// 如果是需要验证自建证书,需要设置为YES
securityPolicy.allowInvalidCertificates = YES;
//validatesDomainName 是否需要验证域名,默认为YES;
//假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。
//置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。
//如置为NO,建议自己添加对应域名的校验逻辑。
securityPolicy.validatesDomainName = NO;
securityPolicy.pinnedCertificates = [[NSArray alloc]initWithObjects:certData, nil];
return securityPolicy;
}
+ (void)initialize
{
if (!requestManager) {
requestManager = [AFHTTPRequestOperationManager manager];
[requestManager setSecurityPolicy:[self customSecurityPolicy]];
}
}
cer文件是服务器同事给你的,你添加到工程就可以了。
如果服务器给的是crt文件,就需要自己转换下:
需要cd到证书所在路径
openssl x509 -in 你的证书.crt -out 你的证书.cer -outform der
关于证书的相关要求需要注意以下几点:
These are the App Transport Security requirements:
The protocol Transport Security Layer (TLS) must be at least version 1.2.
Connection ciphers are limited to those that provide forward secrecy (see the list of ciphers below.)
Certificates must use at least an SHA256 fingerprint with either a 2048 bit or greater RSA key, or a 256 bit or greater Elliptic-Curve (ECC) key.
根据原文描述,首先必须要基于TLS 1.2版本协议。再来就是连接的加密方式要提供Forward Secrecy,文档中罗列出支持的加密算法。最后就是证书至少要使用一个SHA256的指纹与任一个2048位或者更高位的RSA密钥,或者是256位或者更高位的ECC密钥。如果不符合其中一项,请求将被中断并返回nil。
支持forward secrecy的加密方式:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
下面是我自己用的自签证书的部分信息
有很大情况会出现NSURLErrorDomain -1012这个问题:
你可以使用以下命令去获取服务器的公开二进制证书:
openssl s_client -connect www.baidu.com:443 </dev/null 2>/dev/null | openssl x509 -outform DER > https.cer
你把百度的域名换成自己服务器的去生成。
如果是经过第三方认证的就换掉域名就可以了,其他都不需要动。
如果需要知道是否符合ATS要求,使用命令:
nscurl --ats-diagnostics --verbose https://example.com
我们可以看看百度返回的:
TLSv1.0 with PFS disabled and insecure HTTP allowed
ATS Dictionary:
{
NSExceptionDomains = {
"www.baidu.com" = {
NSExceptionAllowsInsecureHTTPLoads = true;
NSExceptionMinimumTLSVersion = "TLSv1.0";
NSExceptionRequiresForwardSecrecy = false;
};
};
}
Result : PASS
然后我们看看怎么添加http例外
在info.plist里面添加这些属性。用红线擦掉的就是域名;然后设置下面两个属性
关于域名比如:http://appweb.xxxx.com
我们填写的是xxxx.com就是一级域名或者叫二级域名com顶级域名前面那个就可以了。
最后关于CA.cer(自签的根证书)证书导入项目不能正常和服务器验证问题。下面是我的根证书一些信息:
因为我们公司产品需要几个域名或者IP,当某个出现问题能自动切换到另外一个。这就导致可能需要几个cer证书。如果能用根证书就不需要一个域名对应一个证书,但是一直不能跑起来。
为了验证,我们把CA证书通过邮件发送到iPhone手机。然后在描述文件里面手动安装(好像必须要用苹果自带的邮箱)。然后跑起来了。
我个人认为是因为自签的CA证书是不受苹果信任的第三方机构颁发的。所以不管你怎么设置都是不能像上面一样成功。除非在手机自己安装