HTTPS学习总结
p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 21.0px Verdana; color: #393939 }
span.s1 { }
HTTPS学习总结
p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 16.0px Verdana; color: #393939 }
p.p2 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Verdana; color: #393939 }
p.p3 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Verdana; color: #6466b3 }
p.p4 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Verdana; color: #393939; min-height: 17.0px }
p.p5 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Verdana; color: #333333 }
p.p6 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #afafaf; background-color: #f4f4f4 }
p.p7 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #393939; background-color: #f4f4f4 }
p.p8 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Verdana; color: #393939; background-color: #ffffff }
p.p9 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Verdana; color: #393939; background-color: #ffffff; min-height: 17.0px }
p.p10 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px Verdana; color: #333333; background-color: #ffffff }
p.p11 { margin: 0.0px 0.0px 0.0px 0.0px; font: 16.0px Verdana; color: #393939; background-color: #ffffff }
p.p12 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #afafaf; background-color: #ffffff }
p.p13 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #393939; background-color: #ffffff }
p.p14 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #008200; background-color: #f4f4f4 }
p.p15 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #008200; background-color: #ffffff }
p.p16 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #393939; background-color: #ffffff }
p.p17 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #0000ff; background-color: #f4f4f4 }
p.p18 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #0000ff; background-color: #ffffff }
p.p19 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #393939; background-color: #f4f4f4 }
p.p20 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #393939; background-color: #f4f4f4 }
li.li8 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Verdana; color: #393939; background-color: #ffffff }
span.s1 { }
span.s2 { color: #393939 }
span.s3 { text-decoration: underline; color: #6466b3 }
span.s4 { font: 14.0px Verdana; text-decoration: underline; color: #6466b3 }
span.s5 { font: 14.0px "PingFang SC" }
span.s6 { color: #0000ff }
span.s7 { }
span.s8 { color: #393939 }
span.s9 { }
span.s10 { color: #0000ff }
table.t1 { border-collapse: collapse }
td.td1 { width: 35.0px }
td.td2 { width: 1147.2px }
td.td3 { width: 28.4px }
td.td4 { width: 1545.7px }
ul.ul1 { list-style-type: disc }
简述
HTTPS对比HTTP就多了一个安全层SSL/TLS,具体就是验证服务端的证书和对内容进行加密。
先来看看HTTP和HTTPS的区别
我用AFN访问http下的httpbin.org/image/png
然后用Charles抓一下包,可以看到传输的图片
然后访问HTTPS下的https://httpbin.org/image/png
再抓包,看到数据是乱码,这就是加密过后的数据
关于加密算法
1)对称加密:密钥只有一个,加密解密为同一个密码,且加解密速度快,典型的对称加密算法有DES、AES等;
2)非对称加密:非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
过程就像我们用github的时候也是这样,我们电脑这里生成私钥和公钥,公钥上传到github,私钥添加到我们电脑的ssh里,这样github给我们传输数据就是用我们上传的公钥来加密,我们获得数据后会用私钥去解密。
什么是SSL/TLS
TLS是 Transport Layer Security的缩写,传输层安全性协议,SSL是Secure Sockets Layer的缩写,安全sokects层协议。SSL/TLS有很多好处,强大的验证,算法灵活,容易部署和使用。缺点是增加处理器的负担,但是消耗的性能很小,对比安全性来说可以忽略不计。
通信过程
通信过程有四次握手。
1、客户端发送请求,服务器返回公钥给客户端;
2、客户端生成对称加密秘钥,用公钥对其进行加密后,返回给服务器;
3、服务器收到后,利用私钥解开得到对称加密秘钥,保存;
4、之后的交互都使用对称加密后的数据进行交互。
HTTPS通信的优点
1)客户端产生的密钥只有客户端和服务器端能得到;
2)加密的数据只有客户端和服务器端才能得到明文;
3)客户端到服务端的通信是安全的。
如何获得证书
1.向CA申请证书
电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构。
这里就不细说了。
2.自制证书
还有一种方式就是自制证书,自制证书的证书是用OpenSSL生成的。OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并且已经在github上开源。
OpenSSL的各种指令
自制证书的命令是
1 |
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days XXX |
刚开始输入命令就会自动生成key.pem
输入命令后会让你输入密码、国家、省市、组织(公司)、名字等信息
输入完成便会生成证书cert.pem
关于命令的一些选项:
- req 是证书请求和生成的程序
- -x509 一种证书标准
- -newkey arg,arg是参数,例如rsa:2048是指生成2048位的rsa key
- -keyout filename 输出的根证书文件名
- -out filename 输出的标准证书文件吗
- -day n 用X.509标准的话要指定验证多少天,默认30
- *
预览cert.pem可以看到刚才输入的信息
pem可以转换成cer格式,可以用命令
1 |
openssl x509 -in <你的服务器证书>.pem -outform der -out server.cer |
也可以双击 cert.pem,这样是导入到钥匙串,打开钥匙串便可导出cer格式的证书。
以上 部分自制证书资料参考的是stackoverflow的这个问题
关于Security框架
看了一下苹果的官方文档,Security框架是C语言写的,提供了一些管理标识码,证书,数字签名,信任等的API。
这里介绍一下几个常用的对象。SecIdentityRef 代码一个标识码对象,struct类型,包含一个SecKeyRef类型和一个SecCertificateRef类型。SecKeyRef就是一个非对称的key对象。SecCertificateRef是一个遵循X.509标准的证书对象。如果这两个对象没有存储到keychain中,则会把它们转换成SecKeychainItemRef对象还会使Keychain Services的函数返回错误。
要生成p12证书,这让我想起配置推送证书的时候,导出证书的时候便是把cer格式的证书转换成p12格式的证书。
iOS实现HTTPS传输
因为项目都是用AFN,所以就大概说下AFN的实现方法
如果是CA认证的证书,则直接用AFN请求便可。
1 2 3 4 5 6 7 8 9 10 11 |
AFSecurityPolicy * securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate]; //allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO //如果是需要验证自建证书,需要设置为YES securityPolicy.allowInvalidCertificates = YES; //validatesDomainName 是否需要验证域名,默认为YES; //假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。 //置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。 //如置为NO,建议自己添加对应域名的校验逻辑。 securityPolicy.validatesDomainName = YES; |
如果是自制证书,则客户端需要导入服务端的公钥,把公钥拖进Xocde里,这里要用到把证书从pem转换成p12格式,参见上面的方法
2.修改验证方式
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
- (void)testClientCertificate { SecIdentityRef identity = NULL; SecTrustRef trust = NULL; NSString *p12 = [[NSBundle mainBundle] pathForResource:@"testClient" ofType:@"p12"]; NSData *PKCS12Data = [NSData dataWithContentsOfFile:p12]; [[self class] extractIdentity:&identity andTrust:&trust fromPKCS12Data:PKCS12Data]; NSString *url = @"https://218.244.131.231/ManicureShop/api/order/pay/%@"; NSDictionary *dic = @{@"request" : @{ @"orderNo" : @"1409282102222110030643", @"type" : @(2) } }; _signString = nil; NSData *postData = [NSJSONSerialization dataWithJSONObject:dic options:NSJSONWritingPrettyPrinted error:nil]; NSString *sign = [self signWithSignKey:@"test" params:dic]; NSMutableData *body = [postData mutableCopy]; NSLog(@"%@", [[NSString alloc] initWithData:body encoding:NSUTF8StringEncoding]); url = [NSString stringWithFormat:url, sign]; AFHTTPRequestOperationManager *manager = [AFHTTPRequestOperationManager manager]; manager.requestSerializer = [AFJSONRequestSerializer serializer]; manager.responseSerializer = [AFJSONResponseSerializer serializer]; [manager.requestSerializer setValue:@"application/json" forHTTPHeaderField:@"Accept"]; [manager.requestSerializer setValue:@"application/json" forHTTPHeaderField:@"Content-Type"]; manager.responseSerializer.acceptableContentTypes = [NSSet setWithArray:@[@"application/json", @"text/plain"]]; manager.securityPolicy = [self customSecurityPolicy]; [manager POST:url parameters:dic success:^(AFHTTPRequestOperation *operation, id responseObject) { NSLog(@"JSON: %@", responseObject); } failure:^(AFHTTPRequestOperation *operation, NSError *error) { NSLog(@"Error: %@", error); }]; } // 下面这段代码是处理SSL安全性问题的: /**** SSL Pinning ****/ - (AFSecurityPolicy*)customSecurityPolicy { NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"testClient" ofType:@"cer"]; NSData *certData = [NSData dataWithContentsOfFile:cerPath]; AFSecurityPolicy *securityPolicy = [AFSecurityPolicy defaultPolicy]; [securityPolicy setAllowInvalidCertificates:YES]; [securityPolicy setPinnedCertificates:@[certData]]; [securityPolicy setSSLPinningMode:AFSSLPinningModeCertificate]; /**** SSL Pinning ****/ return securityPolicy; } |
这段代码来自参考资料3,写的很好,没必要再说一次了
总结
在现在网络越来越发达的情况下,安全性越来越重要。不多说,https是趋势
HTTPS学习总结的更多相关文章
- https学习笔记三----OpenSSL生成root CA及签发证书
在https学习笔记二,已经弄清了数字证书的概念,组成和在https连接过程中,客户端是如何验证服务器端的证书的.这一章,主要介绍下如何使用openssl库来创建key file,以及生成root C ...
- https学习笔记二----基础密码学知识和python pycrypto库的介绍使用
在更详细的学习HTTPS之前,我也觉得很有必要学习下HTTPS经常用到的加密编码技术的背景知识.密码学是对报文进行编解码的机制和技巧.可以用来加密数据,比如数据加密常用的AES/ECB/PKCS5Pa ...
- HTTPS学习笔记一----HTTPS的基础理论知识
首先推荐一本书,<HTTP权威指南>我就是看这本书入门的,对http协议有了更好的理解,学习https的理论知识我认为需要了解以下几点,需要一步步的深入学习: 1.HTTPS的基本概念? ...
- https 学习笔记
参考 : http://www.cnblogs.com/JimmyZhang/archive/2008/10/02/Cryptograph.html https://blog.csdn.net/Jog ...
- HTTPS学习(二):原理与实践
div.example { background-color: rgba(229, 236, 243, 1); color: rgba(0, 0, 0, 1); padding: 0.5em; mar ...
- HTTPS学习(一):准备知识
div.example { background-color: rgba(229, 236, 243, 1); color: rgba(0, 0, 0, 1); padding: 0.5em; mar ...
- HTTP/HTTPS 学习笔记
超文本传输协议(HyperText Transfer Protocol) 伴随着计算机网络和浏览器的诞生,HTTP1.0也随之而来,处于计算机网络中的应用层,HTTP是建立在TCP协议之上的. HTT ...
- https 学习总结
最近看了点https 做下总结 面的博客如果没有错误的话,理解起来绝对是醍醐灌顶!让人信服,如果我的理解有问题,请及时指正! 参考博客: http://www.ruanyifeng.com/b ...
- 《图解http协议》之HTTPs学习笔记
对于IP协议,并不陌生.TP协议是TCP/IP协议簇中的核心协议,也是TCP/IP的载体.所有的TCP,UDP,ICMP及IGMP数据都以IP数据报格式传输.IP提供不可靠的,无连接的数据传送服务.I ...
随机推荐
- JAVA 设计模式 观察者模式
用途 观察者模式 (Observer) 观察者模式定义了一种一对多的依赖关系,让多个观察者对象同时监听某一个主题对象. 这个主题对象在状态发生变化时,会通知所有观察者对象,使它们能够自动更新自己. 观 ...
- 在SQL Server里禁用聚集索引——真的好么?
有人问了我一个最有意思的问题:“你能禁用聚集索引么?” 对这个问题,我先是吓了一跳,因为我从未想过禁用聚集索引,因为聚集索引代表表数据,对这个最有趣问题,我立即答道:“我认为可以,但是...” 好吧, ...
- Javascript动画效果(四)
Javascript动画效果(四) 前面我们自己写了一个小小的关于js动画的插件,下面我们来使用之前的框架来完成我们想要的动画效果.我们经常在淘宝网中看到,鼠标经过某一图片时,该图片有从上滚出而又从下 ...
- .net获取本机公网IP代码
类的代码如下: using System; using System.Net; using System.Text.RegularExpressions; namespace Keleyi.Com { ...
- asp.net中Ajax控件的用途(二)
1.个人觉得对于新手最为实用的PopupControlExtender,弹出层载体,在实例中可以弹出登录框,百度的登陆页面基本都用的这种形式,可以把浮动的panel宽高都设置为100%,以屏蔽底层操作 ...
- QQ--模拟发表带图说说
发表说说之前,必须登录. 模拟QQ登录 >> http://www.cnblogs.com/deeround/p/4386629.html 发表带图说说,自然少不了上传图片,我这使用的PC ...
- 介绍开源的.net通信框架NetworkComms框架 源码分析(二十 )ConnectionCreate
原文网址: http://www.cnblogs.com/csdev Networkcomms 是一款C# 语言编写的TCP/UDP通信框架 作者是英国人 以前是收费的 目前作者已经开源 许可是 ...
- Google Go Programming In Eclipse
http://www.tutorialsavvy.com/2013/04/google-go-programming-in-eclipse.html/ Google Go Programming In ...
- Scalaz(13)- Monad:Writer - some kind of logger
通过前面的几篇讨论我们了解到F[T]就是FP中运算的表达形式(representation of computation).在这里F[]不仅仅是一种高阶类型,它还代表了一种运算协议(computati ...
- Nginx负载均衡配置实例详解
负载均衡是我们大流量网站要做的一个东西,下面我来给大家介绍在Nginx服务器上进行负载均衡配置方法,希望对有需要的同学有所帮助哦. 负载均衡 先来简单了解一下什么是负载均衡,单从字面上的意思来理解就可 ...