简介
当前的环境HTTPS已经占主流了,http已经很少了。而HTTPS是需要证书的。
从现实需求来说,中间人攻击是目前最主要的威胁。对付中间人攻击最好的方式就是证书验证。抓包软件Charlies其实就是一种中间人攻击。所以要实现HTTPS的抓包,Charlies也要安装证书,否则绕不过去。
服务端验证
- AFSecurityPolicy这个类就是专门用来做证书验证的。从下面的枚举类就可以看出服务端的验证有三种。
typedef NS_ENUM(NSUInteger, AFSSLPinningMode) {
AFSSLPinningModeNone, //不验证
AFSSLPinningModePublicKey, //只验证公钥
AFSSLPinningModeCertificate, // 验证证书
};
只验证公钥
也就是AFSSLPinningModePublicKey这个选项,遇到的很少,基本上不考虑这个。
不验证
这个用得是很多的。
干脆AFSecurityPolicy这个类都不用写,当它不存在,默认就是AFSSLPinningModeNone的情况。
服务端的证书一般是要钱的,并且失效一般是一年一换,不验证也省得麻烦。
不写代码是最好的,反正不验证,用AFNetworking的默认配置就好了,别管,当没这回事。如果一定要写一些,一般用下面这种最简单的配置就可以了。
AFSecurityPolicy *policy = [AFSecurityPolicy defaultPolicy];
+ (instancetype)defaultPolicy {
AFSecurityPolicy *securityPolicy = [[self alloc] init];
securityPolicy.SSLPinningMode = AFSSLPinningModeNone;
return securityPolicy;
}
私有证书
也就是AFSSLPinningModeCertificate这种情况
需要让服务端给你一个“xxx.cer”的证书文件。有些也有说是“xxx.crt”或者“xxx.der”的,不一而足。不过,我现实看到的和自己遇到的,统一是“xxx.cer”,需要导入到XCode中。
代码基本上是下面这样的:根据你的实际情况替换下文件名字什么的就可以了。
/**
https证书验证
*/
+(AFSecurityPolicy*)customSecurityPolicy
{
// /先导入证书
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"test" ofType:@"cer"];//证书的路径
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
// AFSSLPinningModeCertificate 使用证书验证模式 (AFSSLPinningModeCertificate是证书所有字段都一样才通过认证,AFSSLPinningModePublicKey只认证公钥那一段,AFSSLPinningModeCertificate更安全。但是单向认证不能防止“中间人攻击”)
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
// allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO
// 如果是需要验证自建证书,需要设置为YES
securityPolicy.allowInvalidCertificates = YES;
//validatesDomainName 是否需要验证域名,默认为YES;
//假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。
//置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。
//如置为NO,建议自己添加对应域名的校验逻辑。
securityPolicy.validatesDomainName = NO;
securityPolicy.pinnedCertificates = (NSSet *)@[certData];
return securityPolicy;
}
客户端验证
需要一个xxx.p12文件放入XCode中
代码基本上下面这样的:
__weak typeof(self)weakSelf = self;
[tools setSessionDidReceiveAuthenticationChallengeBlock:^NSURLSessionAuthChallengeDisposition(NSURLSession*session, NSURLAuthenticationChallenge *challenge, NSURLCredential *__autoreleasing*_credential) {
NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
__autoreleasing NSURLCredential *credential =nil;
if([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
if([tools.securityPolicy evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:challenge.protectionSpace.host]) {
credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
if(credential) {
disposition = NSURLSessionAuthChallengeUseCredential;
} else {
disposition =NSURLSessionAuthChallengePerformDefaultHandling;
}
} else {
disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
}
} else {
// client authentication
SecIdentityRef identity = NULL;
SecTrustRef trust = NULL;
NSString *p12 = [[NSBundle mainBundle] pathForResource:@"clientkey"ofType:@"p12"];
NSFileManager *fileManager =[NSFileManager defaultManager];
if(![fileManager fileExistsAtPath:p12])
{
NSLog(@"client.p12:not exist");
}
else
{
NSData *PKCS12Data = [NSData dataWithContentsOfFile:p12];
if ([[weakSelf class] extractIdentity:&identity andTrust:&trust fromPKCS12Data:PKCS12Data])
{
SecCertificateRef certificate = NULL;
SecIdentityCopyCertificate(identity, &certificate);
const void*certs[] = {certificate};
CFArrayRef certArray =CFArrayCreate(kCFAllocatorDefault, certs,1,NULL);
credential =[NSURLCredential credentialWithIdentity:identity certificates:(__bridge NSArray*)certArray persistence:NSURLCredentialPersistencePermanent];
disposition =NSURLSessionAuthChallengeUseCredential;
}
}
}
*_credential = credential;
return disposition;
}];
+(BOOL)extractIdentity:(SecIdentityRef*)outIdentity andTrust:(SecTrustRef *)outTrust fromPKCS12Data:(NSData *)inPKCS12Data {
OSStatus securityError = errSecSuccess;
//client certificate password
NSDictionary*optionsDictionary = [NSDictionary dictionaryWithObject:@"你的客户端证书密码"
forKey:(__bridge id)kSecImportExportPassphrase];
CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);
securityError = SecPKCS12Import((__bridge CFDataRef)inPKCS12Data,(__bridge CFDictionaryRef)optionsDictionary,&items);
if(securityError == 0) {
CFDictionaryRef myIdentityAndTrust =CFArrayGetValueAtIndex(items,0);
const void*tempIdentity =NULL;
tempIdentity= CFDictionaryGetValue (myIdentityAndTrust,kSecImportItemIdentity);
*outIdentity = (SecIdentityRef)tempIdentity;
const void*tempTrust =NULL;
tempTrust = CFDictionaryGetValue(myIdentityAndTrust,kSecImportItemTrust);
*outTrust = (SecTrustRef)tempTrust;
} else {
NSLog(@"Failedwith error code %d",(int)securityError);
return NO;
}
return YES;
}
这部分代码基本上是一经流出就是标准,很多网站上都是这样的,大差不差。估计来源都是同一个地方。
这部分代码和AFNetworking的使用深度绑定。根据实际情况改改文件名,改改证书密码就可以了。
这种客户端验证我也只见过一次。知道就知道了,也没啥,大概是读取p12文件什么的,比对一些信息罢了。如果没有流出,想自己写?还是省省吧。这种东西没什么技术含量,学会了也没什么意思。只要能和服务器通讯上就好了。
参考文章
iOS--AFNetworking2.6/3.0--HTTPS客户端与服务端双向认证
