最近,公司要搞HTTPS,现说下HTTPS的简单原理和配置过程,希望对你有帮助。
HTTPS和HTTP的区别
HTTPS 是运行在 TLS/SSL 之上的 HTTP,与普通的 HTTP 相比,在数据传输的安全性上有很大的提升。
要了解它安全性的巧妙之处,需要先简单地了解对称加密和非对称加密的区别:
1.对称加密只有一个密钥,加密和解密都用这个密钥;
2.非对称加密有公钥和私钥,私钥加密后的内容只有公钥才能解密,公钥加密的内容只有私钥才能解密。
3.为了提高安全性,我们常用的做法是使用对称加密的手段加密数据。可是只使用对称加密的话,双方通信的开始总会以明文的方式传输密钥。那么从一开始这个密钥就泄露了,谈不上什么安全。所以 TLS/SSL 在握手的阶段,结合非对称加密的手段,保证只有通信双方才知道对称加密的密钥。
百科:超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。
为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
如何防止通讯过程中的数据的泄密和被篡改
单向认证:
材料:买来的服务器证书server.cer(客户端要放一个,用来验证服务端),客户端,服务器。
数据加密基本原理:RSA加密+对称加密(数据data经对称密钥key加密,然后把对称密钥key经RSA公钥加密)
1、客户端向服务器发起请求。
2、服务器响应到请求,同时把服务器的证书发给客户端。
3、客户端接收到证书,然后和客户端中的证书对比,如果证书不一致或者无效,那么断开连接。如果通过,那么进行第四部。
4、客户端产生一个随机密钥,然后经服务器证书中的公钥进行加密,传给服务端。
5、服务端拿到加密数据和加密密钥,用服务器的私钥解开密钥,得到对称密钥key。
6、服务端和客户端互相通讯指定这个密钥为加密密钥。握手结束
7、客户端和服务端开始通讯,通讯数据由对称密钥加密。
百科:
一般意义上的https,就是服务器有一个证书。(单向)
(a) 主要目的是保证服务器就是他声称的服务器,这个跟第一点一样。
(b)服务端和客户端之间的所有通讯都是加密的。
(1). 具体讲,是客户端产生一个对称的密钥,通过服务器的证书来交换密钥,即一般意义上的握手过程。
(2). 接下来所有的信息往来就都是加密的。第三方即使截获,也没有任何意义,因为他没有密钥,当然篡改也就没有什么意义了。
双向认证
双向认证比单向认证多了一步,就是服务器要认证客户端,按照百度百科上的步骤,客户端应该有一个由CA(或正规机构)签发的p12证书,和CA根证书(签名的p12就是由这个签名的,上面的CA根证书和p12证书 其实都可以自签的,下面介绍的也是自签的
材料:买来的服务器证书server.cer(客户端要放一个,用来验证服务端),客户端,服务器端,CA的根证书(放到服务器中,用来验证客户端的证书),p12证书(用来放到客户端,网络请求的时候会传给服务端)。
步骤:就是在上面第4步的时候,要用p12文件来对一段数据进行签名,然后把签名和p12证书,加密的对称密钥(上面的说过的)传给服务器,然后服务器接到以后,会用CA根证书(或自签的根证书)来对证书和签名数据进行验证,如果正确,通讯继续,否则,断开连接。
百科:
少许对客户端有要求的情况下,会要求客户端也必须有一个证书。(双向)
(a) 这里客户端证书,其实就类似表示个人信息的时候,除了用户名/密码,还有一个CA 认证过的身份。因为个人证书一般来说是别人无法模拟的,所有这样能够更深的确认自己的身份。
(b) 目前大多数个人银行的专业版是这种做法,具体证书可能是拿U盘(即U盾)作为一个备份的载体。
简单配置HTTPS
如果公司买的CA颁发的证书,那什么都不用处理。
如果是自签证书需要做一下操作
1.后台同事会给你发一份. crt后缀的证书,我们需要的是.cer 的,所以我们可以导入到钥匙串中,然后找到你导入的证书,单击右键,导出项目,就可以导出.cer文件的证书,然后直接放进工程里。
2.修改发起请求的类
+ (AFSecurityPolicy*)customSecurityPolicy
{
// /先导入证书
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"xxx" ofType:@"cer"];//证书的路径
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
// AFSSLPinningModeCertificate 使用证书验证模式
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
// allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO
// 如果是需要验证自建证书,需要设置为YES
securityPolicy.allowInvalidCertificates = YES;
//validatesDomainName 是否需要验证域名,默认为YES;
//假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。
//置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。
//如置为NO,建议自己添加对应域名的校验逻辑。
securityPolicy.validatesDomainName = NO;
securityPolicy.pinnedCertificates = @[certData];
return securityPolicy;
}
在请求时加上这行代码,
AFHTTPRequestOperationManager *manager = [AFHTTPRequestOperationManager manager];
//https ssl 验证
[mgr setSecurityPolicy:[self customSecurityPolicy]];
3.这样基本就完成了。如果你发现有些请求失败了。就要检查下是不是一个域名了。比如图片,后台可能用的另一个域名。比如webview可以正常显示么。如果有问题,就要修改info.plist,看这篇文章,很详细。
https://www.jianshu.com/p/ef59129ede61
把你需要特殊处理的域名设置一下。
我们一般抓包工具抓取我们App请求数据,会很容易,都是明文,但是也有一些是乱码,因为数据已经加密了,如果你看到你们的请求是https,
然后就告诉后台OK了。
参考文章
简单原理链接
https://blog.csdn.net/qq_35612929/article/details/60962138
https://www.cnblogs.com/oc-bowen/p/5896041.html
具体配置链接
https://www.jianshu.com/p/ef59129ede61
