HTTPS学习总结

p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 21.0px Verdana; color: #393939 }
span.s1 { }

HTTPS学习总结

p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 16.0px Verdana; color: #393939 }
p.p2 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Verdana; color: #393939 }
p.p3 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Verdana; color: #6466b3 }
p.p4 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Verdana; color: #393939; min-height: 17.0px }
p.p5 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Verdana; color: #333333 }
p.p6 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #afafaf; background-color: #f4f4f4 }
p.p7 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #393939; background-color: #f4f4f4 }
p.p8 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Verdana; color: #393939; background-color: #ffffff }
p.p9 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Verdana; color: #393939; background-color: #ffffff; min-height: 17.0px }
p.p10 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px Verdana; color: #333333; background-color: #ffffff }
p.p11 { margin: 0.0px 0.0px 0.0px 0.0px; font: 16.0px Verdana; color: #393939; background-color: #ffffff }
p.p12 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #afafaf; background-color: #ffffff }
p.p13 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #393939; background-color: #ffffff }
p.p14 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #008200; background-color: #f4f4f4 }
p.p15 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #008200; background-color: #ffffff }
p.p16 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #393939; background-color: #ffffff }
p.p17 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #0000ff; background-color: #f4f4f4 }
p.p18 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #0000ff; background-color: #ffffff }
p.p19 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #393939; background-color: #f4f4f4 }
p.p20 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Courier New"; color: #393939; background-color: #f4f4f4 }
li.li8 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Verdana; color: #393939; background-color: #ffffff }
span.s1 { }
span.s2 { color: #393939 }
span.s3 { text-decoration: underline; color: #6466b3 }
span.s4 { font: 14.0px Verdana; text-decoration: underline; color: #6466b3 }
span.s5 { font: 14.0px "PingFang SC" }
span.s6 { color: #0000ff }
span.s7 { }
span.s8 { color: #393939 }
span.s9 { }
span.s10 { color: #0000ff }
table.t1 { border-collapse: collapse }
td.td1 { width: 35.0px }
td.td2 { width: 1147.2px }
td.td3 { width: 28.4px }
td.td4 { width: 1545.7px }
ul.ul1 { list-style-type: disc }

简述

HTTPS对比HTTP就多了一个安全层SSL/TLS，具体就是验证服务端的证书和对内容进行加密。

先来看看HTTP和HTTPS的区别

我用AFN访问http下的httpbin.org/image/png

然后用Charles抓一下包，可以看到传输的图片

然后访问HTTPS下的https://httpbin.org/image/png

再抓包，看到数据是乱码，这就是加密过后的数据

关于加密算法

1)对称加密：密钥只有一个，加密解密为同一个密码，且加解密速度快，典型的对称加密算法有DES、AES等；

2)非对称加密：非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

过程就像我们用github的时候也是这样，我们电脑这里生成私钥和公钥，公钥上传到github，私钥添加到我们电脑的ssh里，这样github给我们传输数据就是用我们上传的公钥来加密，我们获得数据后会用私钥去解密。

什么是SSL/TLS

TLS是 Transport Layer Security的缩写，传输层安全性协议，SSL是Secure Sockets Layer的缩写，安全sokects层协议。SSL/TLS有很多好处，强大的验证，算法灵活，容易部署和使用。缺点是增加处理器的负担，但是消耗的性能很小，对比安全性来说可以忽略不计。

通信过程

通信过程有四次握手。

1、客户端发送请求，服务器返回公钥给客户端；

2、客户端生成对称加密秘钥，用公钥对其进行加密后，返回给服务器；

3、服务器收到后，利用私钥解开得到对称加密秘钥，保存；

4、之后的交互都使用对称加密后的数据进行交互。

HTTPS通信的优点

1）客户端产生的密钥只有客户端和服务器端能得到；

2）加密的数据只有客户端和服务器端才能得到明文；

3）客户端到服务端的通信是安全的。

如何获得证书

1.向CA申请证书

电子商务认证授权机构（CA, Certificate Authority），也称为电子商务认证中心，是负责发放和管理数字证书的权威机构。

这里就不细说了。

2.自制证书

还有一种方式就是自制证书，自制证书的证书是用OpenSSL生成的。OpenSSL 是一个强大的安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并且已经在github上开源。

OpenSSL的各种指令

自制证书的命令是

1	openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days XXX

刚开始输入命令就会自动生成key.pem

输入命令后会让你输入密码、国家、省市、组织（公司）、名字等信息

输入完成便会生成证书cert.pem

关于命令的一些选项：

• req 是证书请求和生成的程序
• -x509 一种证书标准
• -newkey arg，arg是参数，例如rsa:2048是指生成2048位的rsa key
• -keyout filename 输出的根证书文件名
• -out filename 输出的标准证书文件吗
• -day n 用X.509标准的话要指定验证多少天，默认30
• *

预览cert.pem可以看到刚才输入的信息

pem可以转换成cer格式，可以用命令

1	openssl x509 -in <你的服务器证书>.pem -outform der -out server.cer

也可以双击 cert.pem，这样是导入到钥匙串，打开钥匙串便可导出cer格式的证书。

以上 部分自制证书资料参考的是stackoverflow的这个问题

关于Security框架

看了一下苹果的官方文档，Security框架是C语言写的，提供了一些管理标识码，证书，数字签名，信任等的API。

这里介绍一下几个常用的对象。SecIdentityRef 代码一个标识码对象，struct类型，包含一个SecKeyRef类型和一个SecCertificateRef类型。SecKeyRef就是一个非对称的key对象。SecCertificateRef是一个遵循X.509标准的证书对象。如果这两个对象没有存储到keychain中，则会把它们转换成SecKeychainItemRef对象还会使Keychain Services的函数返回错误。

要生成p12证书，这让我想起配置推送证书的时候，导出证书的时候便是把cer格式的证书转换成p12格式的证书。

iOS实现HTTPS传输

因为项目都是用AFN，所以就大概说下AFN的实现方法

如果是CA认证的证书，则直接用AFN请求便可。

1 2 3 4 5 6 7 8 9 10 11

AFSecurityPolicy * securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate]; //allowInvalidCertificates 是否允许无效证书（也就是自建的证书），默认为NO //如果是需要验证自建证书，需要设置为YES securityPolicy.allowInvalidCertificates = YES; //validatesDomainName 是否需要验证域名，默认为YES； //假如证书的域名与你请求的域名不一致，需把该项设置为NO；如设成NO的话，即服务器使用其他可信任机构颁发的证书，也可以建立连接，这个非常危险，建议打开。 //置为NO，主要用于这种情况：客户端请求的是子域名，而证书上的是另外一个域名。因为SSL证书上的域名是独立的，假如证书上注册的域名是www.google.com，那么mail.google.com是无法验证通过的；当然，有钱可以注册通配符的域名*.google.com，但这个还是比较贵的。 //如置为NO，建议自己添加对应域名的校验逻辑。 securityPolicy.validatesDomainName = YES;

　　

如果是自制证书，则客户端需要导入服务端的公钥，把公钥拖进Xocde里，这里要用到把证书从pem转换成p12格式，参见上面的方法

2.修改验证方式

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53

- (void)testClientCertificate { SecIdentityRef identity = NULL; SecTrustRef trust = NULL; NSString *p12 = [[NSBundle mainBundle] pathForResource:@"testClient" ofType:@"p12"]; NSData *PKCS12Data = [NSData dataWithContentsOfFile:p12]; [[self class] extractIdentity:&identity andTrust:&trust fromPKCS12Data:PKCS12Data]; NSString *url = @"https://218.244.131.231/ManicureShop/api/order/pay/%@"; NSDictionary *dic = @{@"request" : @{ @"orderNo" : @"1409282102222110030643", @"type" : @(2) } }; _signString = nil; NSData *postData = [NSJSONSerialization dataWithJSONObject:dic options:NSJSONWritingPrettyPrinted error:nil]; NSString *sign = [self signWithSignKey:@"test" params:dic]; NSMutableData *body = [postData mutableCopy]; NSLog(@"%@", [[NSString alloc] initWithData:body encoding:NSUTF8StringEncoding]); url = [NSString stringWithFormat:url, sign]; AFHTTPRequestOperationManager *manager = [AFHTTPRequestOperationManager manager]; manager.requestSerializer = [AFJSONRequestSerializer serializer]; manager.responseSerializer = [AFJSONResponseSerializer serializer]; [manager.requestSerializer setValue:@"application/json" forHTTPHeaderField:@"Accept"]; [manager.requestSerializer setValue:@"application/json" forHTTPHeaderField:@"Content-Type"]; manager.responseSerializer.acceptableContentTypes = [NSSet setWithArray:@[@"application/json", @"text/plain"]]; manager.securityPolicy = [self customSecurityPolicy]; [manager POST:url parameters:dic success:^(AFHTTPRequestOperation *operation, id responseObject) { NSLog(@"JSON: %@", responseObject); } failure:^(AFHTTPRequestOperation *operation, NSError *error) { NSLog(@"Error: %@", error); }]; } // 下面这段代码是处理SSL安全性问题的: /**** SSL Pinning ****/ - (AFSecurityPolicy*)customSecurityPolicy { NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"testClient" ofType:@"cer"]; NSData *certData = [NSData dataWithContentsOfFile:cerPath]; AFSecurityPolicy *securityPolicy = [AFSecurityPolicy defaultPolicy]; [securityPolicy setAllowInvalidCertificates:YES]; [securityPolicy setPinnedCertificates:@[certData]]; [securityPolicy setSSLPinningMode:AFSSLPinningModeCertificate]; /**** SSL Pinning ****/ return securityPolicy; }

　　

这段代码来自参考资料3，写的很好，没必要再说一次了

总结

在现在网络越来越发达的情况下，安全性越来越重要。不多说，https是趋势