一、参考文章
HTTPS 基础OpenSSL 与 SSL 数字证书概念贴iOS 中对 HTTPS 证书链的验证
二、学习过程中的疑问和解决
- 证书的验证过程中自己计算加密摘要信息是怎么进行的。
刚开始接触时对证书的验证过程,主要的困惑在于证书自己怎么计算自己的摘要从而与上一级证书解密出来的摘要进行对比。后面了解这与证书的生成过程有关。摘要里面的信息是公开的,而且加密算法也是公开的,所以每个证书都能自己计算出自己加密 后的摘要信息。摘要与数字签名生成:明文(证书的相关信息,公开的)-> hash运算(此证书用的hash运算方法也是公开的) -> 摘要 -> 上级证书的私钥加密(颁发者) -> 数字签名
关于自建证书与申请的证书验证时的区别
申请的证书:申请的证书不用在项目中导入cer文件,如果是用AFNetworking 进行网络请求的话,只需要进行下面两步: <1> 生成一个policy:
- (AFSecurityPolicy *)customSecurityPolicy{ //先导入证书,找到证书的路径// NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"2_eoojia" ofType:@"cer"];// NSData *certData = [NSData dataWithContentsOfFile:cerPath]; //AFSSLPinningModeCertificate 使用证书验证模式 AFSecurityPolicy securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeNone]; //allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO //如果是需要验证自建证书,需要设置为YES securityPolicy.allowInvalidCertificates = NO; //validatesDomainName 是否需要验证域名,默认为YES; //假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。 //置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名.google.com,但这个还是比较贵的。 //如置为NO,建议自己添加对应域名的校验逻辑。 securityPolicy.validatesDomainName = YES;// securityPolicy.validatesCertificateChain = NO; // NSSet *set = [[NSSet alloc] initWithObjects:certData, nil];// NSSet *set = [AFSecurityPolicy certificatesInBundle:[NSBundle mainBundle]];// securityPolicy.pinnedCertificates = set; return securityPolicy;}
<2> 设置[sessionManager setSecurityPolicy:[self customSecurityPolicy]];
即可,不需要导入证书,因为你申请的证书已经在信任列表里面了,系统会自动进行验证,就像浏览器做的那样。
自建证书的验证 方法同上,但是要导入证书链,然后AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeNone];
改为AFSSLPinningModeCertificate
,然后加入证书即可。(这只是猜想没有经过验证)
三、需要注意的问题
- 验证证书有效性的方法
验证会从最底的证书开始:假设有三级证书,分别为A,B,C;A: 根证书,一般是被加到客户端的信任列表里面的。B: 二级证书C: 客户端证书
验证步骤:
用B证书的pubKey(公钥)来解密C的签名信息,得到C的加密后的摘要。
C证书通过证书中标明的加密算法来计算出加密后摘要。
比对这两份摘要,如果一致,表明B信任C。
用同样的方法,判断A是否信任B
因为A是根证书,所以这时不会再用上面的方法,而是用客户端信任证书列表里面存储的证书与A 进行比对,如果有一致的,说明这个证书链是可信的。
完成证书的验证。
